发布日期：2021-04-01
更新日期：2021-04-25

受影响系统：

RedHat containers/storage < 1.28.1

描述：

---

CVE(CAN) ID: CVE-2021-20291

Red Hat Ceph Storage是美国红帽（Red Hat）公司的一套可扩展的、开放性的软件定义存储平台。
github.com/containers/storage 1.28.1之前版本存在锁定不当漏洞。该漏洞产生的原因是程序在处理容器图像时会使用`tar`打开每个图层的包装，如这些层中的某一个不是有效的`tar`归档文件，则可能会导致代码无限期地等待tar解压后的流，且该流永不停止。攻击者可利用该漏洞借助特制的图像（需要满足该恶意图像由应用程序使用容器/存储进行下载和存储的的条件）造成拒绝服务。

<**>

建议：

---

厂商补丁：

github
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://access.redhat.com/security/cve/cve-2021-20291
https://bugzilla.redhat.com/show_bug.cgi?id=1939485

浏览次数：850
严重程度：0（网友投票）