行业资讯

立即注册 咨询客服

当前位置:首页 > 行业资讯> Apache OpenWhisk严重漏洞 关键信息泄漏

Apache OpenWhisk严重漏洞 关键信息泄漏

发布时间:2018年07月25日 10:46:31    来源: A5互联

研究人员已经披露了Apache OpenWhisk中存在的严重漏洞,这可能导致敏感的信息泄露。

根据网络安全公司PureSec的说法,这些漏洞存在于Apache OpenWhisk中,这是一个用于无服务器计算的开源平台。该技术的商业部署包括IBM Cloud Functions。

这些漏洞在记录研究的白皮书中有所描述,并在CVE-2018-11756和CVE-2018-11757下进行了跟踪。

Apache OpenWhisk执行函数以响应事件。该软件利用快速自动缩放功能,并提供一个程序,可用于创建基于云的本机事件处理程序的功能,以便在运行时容器内自动执行功能。

但是,在特定条件下,远程攻击者能够篡改并覆盖正在运行时容器中执行的易受攻击函数的源代码。

当操作在OpenWhisk中运行时,系统通过REST接口与操作交互。每个动作容器内有两个端点; 初始化并运行。如果某个操作包含漏洞,攻击者可以通过端口8080强制该操作在REST接口中向init启动本地HTTP请求。

启动请求后,威胁参与者就可以覆盖操作的源代码 - 尽管REST端点无法发出响应。

通过利用操作逻辑中的远程代码执行漏洞,利用操作中的跨站点脚本缺陷或SSRF错误,或通过利用不同相关运行时语言中的eval()的不安全使用,可以强制执行请求。

利用这些漏洞的成功攻击可能导致属于不同最终用户的敏感操作数据泄露,并且潜在地,黑客也可能并行执行恶意逻辑,从而同时发起后续攻击 - 转换一次攻击是一次广泛而持久的网络攻击。

PureSec向Apache OpenWhisk报告了其调查结果,并提出了一项建议的解决方案,以减轻6月5日的妥协风险。Apache OpenWhisk确认一天后收到报告。

到7月3日,规范了OpenWhisk如何在所有运行时间处理init以缓解问题。

功能的安全性是无服务器计算的重要原则.Apache OpenWhisk社区感谢PureSec及其研究团队改进OpenWhisk平台并使其更加安全。