Apache开源社区发布了与Theapache OpenWhiskPlatform有关的两个修补程序,该修补程序已由IBM Cloud和其他托管服务提供商应用,并建议所有其他用户执行该产品。
Security FirmPuresec发现了一种漏洞,该漏洞用于运行Python中的Apache OpenWhisk函数,Apache OpenWhisk社区通过审核所有运行时映像,并找到了一个也受影响的PHP函数的另一个图像。
vulnerabilitiescouldscould使攻击者能够用恶意代码替换公司的无务代码。运行,恶意代码然后可以享受密码或信用卡号,如密码或信用卡号,修改或删除数据,或执行分布式拒绝服务(研究人员说,DDOS)攻击。
OpenWhisk是无服务器计算的领先开源平台,技术有几个商业部署,包括IBM云中的IBM云功能服务。
Apache社区发布了漏洞的安全更新(修补程序)(CVE-2018-11756和CVE-2018-11757),这是一个无服务器平台中的第一个公开披露的漏洞,并且建议已建议将Apache的所有用户开放到最新版本立即。
在发现第一个遗漏之后,Puresec研究人员在安全公司的负责任披露政策下私下通知Apache和IBM,并在安全咨询中详细说明了他们的调查结果。
Apache OpenWhisk执行功能响应具有快速自动缩放的事件,并提供编程模型,以创建函数作为云本机事件处理程序,在发生事件时自动执行函数,在运行时容器中自动执行。
Puresec威胁研究团队在某些情况下,如何在某些条件下覆盖在运行时容器中执行的易受攻击函数的源代码,并影响同一容器中相同函数的后续执行。
然后,管理覆盖或修改无服务器函数代码的攻击者可以执行进一步的操作,例如在该函数内的后续执行期间泄漏敏感数据,这可能属于其他用户。
“作为我们持续研究努力进入无服务安全性的一部分,我们的团队在OpenWhisk运行时发现了这种功能可变性,并且在验证时,将其直接向Apache OpenWhisk团队报告,”Pureesec和联合创始人说。“我们非常高兴,对Apache Openwhisk团队的迅速令人愉快地印象深刻,这非常认真对此问题。”
Rodric Rabbah是Apache OpenWhisk的一个创造者之一,表示功能的安全性是无服务器计算的重要宗旨。“Apache OpenWhisk社区感谢Puresec及其研究团队改进OpenWhisk平台并使其更加安全,”他说。
根据Rabbah,当受影响的运行时更新并推出时,通过其中一个托管服务(如IBM Cloud函数)的托管服务(如IBM Cloud函数)使用Apache OpenWhisk的所有无服务器开发人员进行修补。他指出,没有影响他们在其服务中没有受影响的图像的情况下,没有受到影响。
“这本身就展示了无服务器模型 - 零开支到开发人员和零中断,”他在博客文章中写道。
Synopsys的Black Duck的高级技术福音师Tim Mackey表示,漏洞展示了基础架构的信任如何影响所传送的应用程序的整体安全性。
“申请是否是传统的,集装箱或无服务器,必须不断监测整个交付堆栈的安全性,”他说。
根据Mackey,由于应用程序被分解为在无服务模型中部署的功能中,这些应用的潜在攻击表面增加。“每个职能应被视为一个明显的可交付,以完整的安全审查为准,”他说。
版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。