缺陷管理 CodeArts Defect

Kubernetes安全漏洞公告（CVE-2024-10220） Kubernetes社区近日公布了一个安全漏洞（CVE-2024-10220），该漏洞使得具有创建Pod权限的攻击者能够通过部署配置了gitRepo卷的Pod来执行容器外的任意命令。攻击者可以利用目标Git仓库中的钩子（hoo

查看更多 →

Linux内核权限提升漏洞公告（CVE-2024-1086） 漏洞详情 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 本地提权 CVE-2024-1086 严重 2024-01-31 漏洞影响 Linux系统内核在3.15-6.8中的netfilter: nf

查看更多 →

1可以访问到且不需要任何认证鉴权的暴露服务，那么该服务信息就能被攻击者获取。问题详情请参见Placeholder issue。 可能的攻击者： 同一交换机内的其他共享主机实例。 本机的运行容器。 在下列版本的kube-proxy组件均在此CVE的影响范围内： kube-proxy

查看更多 →

containerd安全漏洞公告（CVE-2020-15257） 漏洞详情 CVE-2020-15257是containerd官方发布的一处Docker容器逃逸漏洞。containerd是一个支持Docker和常见Kubernetes配置的容器运行时管理组件，它处理与容器化有关的抽象，并提供

查看更多 →

Bit的嵌入式http服务器对跟踪请求的解析中，由于在解析/api/v1/traces 端点的传入请求时，在解析之前未正确验证input_name的数据类型，可通过在请求的“inputs”数组中传递非字符串值（如整数值），可能导致内存崩溃，成功利用该漏洞可能导致拒绝服务、信息泄露或远程代码执行。 CCE

查看更多 →

服务器 凭据转发给第三方。 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 SSRF CVE-2022-3172 中 2022-09-09 漏洞影响 CCE受影响的版本： kube-apiserver <= v1.23.10 符合上述范围的CCE集群，且配置了聚合API Serv

查看更多 →

NVIDIA GPU。 漏洞详情 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 容器逃逸 CVE-2024-0132 严重 2024-09-26 漏洞影响 在NVIDIA Container Toolkit v1.16.1及更早版本的环境中，攻击者通过运行一个

查看更多 →

漏洞公告 HTTP/2协议拒绝服务漏洞公告（CVE-2023-4487） runC漏洞对U CS 服务的影响说明（CVE-2024-21626）

查看更多 →

络配置。本文介绍该漏洞的影响。 表1 漏洞信息 漏洞类型 CVE-ID 漏洞级别 披露/发现时间 输入验证错误 CVE-2020-13401 中 2020-06-01 漏洞影响 对操作系统中启用了IPv6并且容器网络的CNI Plugins小于V0.8.6版本的节点有影响。 恶意

查看更多 →

取镜像时触发。 该漏洞的影响范围如下： 若镜像被恶意损坏，拉取镜像时可能会导致docker daemon崩溃。 使用容器镜像服务（SWR）时，如果您的镜像是通过在SWR获取的，上传到镜像仓库的镜像会进行digest校验，此场景不受影响。 该漏洞不会影响运行中的容器。 判断方法 如

查看更多 →

确认号（ACK）。 接收方通过SEQ号和ACK号来跟踪成功接收了哪些段。ACK号下一个预期接受的段。 示例： 上图中用户A通过13个100字节的段发送1k字节的数据，每个段具有20字节的TCP头，总计是13个段。在接收端，用户B接收了段1,2,4,6,8-13，而段3,5和7丢失，B没有接收到。

查看更多 →

或运行旧版Docker Engine的用户不易受到影响。 当前CCE采用华为优化的Docker容器，未启用Docker的AuthZ插件，因此不会触发该漏洞。 判断方法 您可以在节点上执行命令查看Docker使用的插件。 容器引擎为Docker的节点，执行以下命令： ps –elf

查看更多 →

操作系统镜像版本说明 本文为您提供CCE集群操作系统版本相关的最新发布动态。 如需获取最新的集群版本与操作系统版本对应表，请参见集群版本与操作系统对应关系。 Huawei Cloud EulerOS 2.0 内核版本 发布时间 发布说明 5.10.0-182.0.0.95.r2220_156

查看更多 →

优化了大文件异步Purge的性能。 修复问题 引入社区8.0.28版本的bugfix，详见社区8.0.28版本发布说明。 修复了社区并行DDL导致的数据不一致问题。 修复了社区审计日志内存泄漏、线程挂住的问题。 安全加固 解决安全漏洞：CVE-2019-17543、CVE-2020-197

查看更多 →

证书的方式中存在欺骗漏洞。 攻击者可以通过使用欺骗性的代码签名证书，对恶意可执行文件进行签名来利用此漏洞，从而使该文件看似来自受信任的合法来源，用户将无法知道该文件是恶意文件。例如，攻击者可以通过该漏洞，让勒索木马等软件拥有看似“可信”的签名证书，从而绕过Windows的信任检测机制，误导用户安装。

查看更多 →

Inheritable 集合上，这会导致在容器内的进程在以 Non-Root 用户 execve() 执行可执行文件时Inheritable和文件的Inheritable集合的交集被添加到执行完execve后的进程的Permited集合中，出现非预期的“越权“行为。需要说明的是，这个越权并没有突破 execve

查看更多 →

。 多集群场景安装的时候，15012端口是暴露在公网的，受攻击影响的可能性大一些。 根本原因 15012端口接收的请求不需要认证信息即可被Istiod处理，在大量向Istiod该端口发送请求时会导致Istiod服务不可用。 受影响版本 低于1.13.1版本的Istio 补丁修复版本

查看更多 →

Kubernetes安全漏洞公告（CVE-2024-10220） Kubernetes社区近日公布了一个安全漏洞（CVE-2024-10220），该漏洞使得具有创建Pod权限的攻击者能够通过部署配置了gitRepo卷的Pod来执行容器外的任意命令。攻击者可以利用目标Git仓库中的钩子（hoo

查看更多 →

利用runc的符号链接以及条件竞争漏洞，最终可能会导致容器逃逸，使攻击者能够访问宿主机的文件系统。 您需要检查节点上的runc版本是否<=1.0.0-rc94，以判断是否受该漏洞影响。 漏洞处理方案 限制不受信任的用户拥有创建工作负载权限，尤其是拥有配置卷挂载参数的权限。 限制容器所拥有的权限。

查看更多 →

停用影响 新建服务、存量服务停止后再启动、存量服务失败后再启动，会立即切换使用新 域名 。为保障持续提供推理服务，请您及时更新业务中的预测API的域名。 如果您使用的是VPC内部节点访问ModelArts推理的在线服务，预测API切换域名后，由于内网VPC无法识别公网域名，请提交工单联系华为云技术支持打通网络。

查看更多 →

7月11日0点修复之前创建的无状态负载，建议选择业务不受影响的时间窗口，删除并重新创建负载的Pod实例。 登录云容器实例管理控制台，左侧导航栏中选择“工作负载 > 无状态（Deployment）”，单击负载名称。 在无状态负载详情页面的Pod列表，单击Pod后的“删除”，在弹出的对话框中单击“是”。

查看更多 →