Noll
Forskare har avslöjat förekomsten av allvarliga sårbarheter i Apache OpenWhisk som kan leda till att känsliga uppgifter utlämnande.
Enligt it-företaget PureSec, buggar finns i Apache OpenWhisk, ett open-source-plattformen för serverlösa computing. Kommersiell utbyggnad av den teknik som inkluderar Cloud-Funktioner.
TechRepublic: Hur man håller EHRs trygg och säker från it
De sårbarheter som finns beskrivna i ett whitepaper dokumentera forskning.PDF) och spåras under CVE-2018-11756 och CVE-2018-11757.
Apache OpenWhisk utför funktioner till följd av händelser. Programvaran använder snabb automatisk skalning och erbjuder ett program som kan användas för att skapa funktioner som cloud-baserade native-händelsehanterare för att utföra funktioner automatiskt inne i runtime behållare.
Se även: Venmo har ingen bra anledning för att göra användaren transaktioner som standard
Dock, under vissa förutsättningar, för angripare utifrån har möjlighet att manipulera och skriva källkoden i en sårbar funktionen som utförs i ett runtime-container.
När åtgärder köra inne i OpenWhisk, systemet interagerar med insatser via ett REST-gränssnittet. Det finns två ändpunkter inuti varje åtgärd behållare; init och köra. Om en handling innehåller sårbarheter som kan angripare att tvinga åtgärder för att starta en lokal HTTP-begäran till init i ÖVRIGA gränssnitt via port 8080.
När begäran har lanserats, hot aktörer har sedan möjlighet att skriva källkoden i handling-trots att RESTEN endpoint att underlåta att utfärda ett svar.
Begäran kan tvingas fram genom att utnyttja fjärrkörning av kod i händelsernas logik, genom att utnyttja en cross-site scripting fel eller SSRF bugg i åtgärder, eller genom att utnyttja osäkra använda eval() i olika relevanta runtime språk.
En lyckad attack utnyttja dessa sårbarheter kan leda till läckage av känslig åtgärd uppgifter som hör till olika slutanvändare, och potentiellt, hackare skulle också kunna köra oseriösa logik parallellt och därför att inleda efterföljande attacker på samma gång-att omvandla en misshandel i en omfattande och ihållande cyberattack.
PureSec rapporterade sitt fynd till Apache OpenWhisk tillsammans med ett förslag fix för att minska risken för att kompromissa med den 5 juni. Apache OpenWhisk bekräftat mottagandet av rapporten en dag senare.
Senast den 3 juli, dra önskemål utfärdades normalisera hur OpenWhisk hanterar init över alla drifttider för att minska problemet.
“Säkerheten av funktioner är en viktig grundsats i serverlösa computing. Apache OpenWhisk community tack PureSec och dess forskargrupp för att förbättra OpenWhisk plattformen och göra den mer säker,” sade Rodric Rabba, en av skaparna av Apache OpenWhisk.
CNET: Facebook, Google, Microsoft och Twitter vill göra din bärbar data
Tidigare och relaterade täckning
Ukraina block VPNFilter attack mot kärnan i landets vatten-system IoT hacker bygger Huawei-baserade botnet, förslavar 18,000 enheter i ett och samma dag Cisco fläckar kritiska sårbarheter i Politiken Suite
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0