Des failles importantes ont été corrigées sur Apache OpenWhisk

Des chercheurs ont révélé l'existence de vulnérabilités importantes (les CVE-2018-11756 et CVE-2018-11757) dans Apache OpenWhisk, ce qui pourrait provoquer une divulgation d'informations sensibles ou une exécution de code arbitraire. Apache OpenWhisk est une plate-forme cloud libre qui permet de tirer profit des possibilités ouvertes par l'informatique sans serveur. Elle est implémentée dans IBM Cloud Functions.

Un attaquant distant pourrait altérer et remplacer le code source d'une fonction vulnérable en cours d'exécution dans un conteneur. Les exécutions ultérieures dans le même conteneur, même effectuées par un autre utilisateur, sont aussi concernées par la vulnérabilité.

Concrètement, une exploitation réussie permettrait d'obtenir des données utilisateurs sensibles, telles que des mots de passe, de modifier ou de supprimer des informations, de miner des cryptomonnaies ou de lancer des attaques DDoS.

PureSec a publié un avis technique et une vidéo montrant le fonctionnement de l'attaque contre IBM Cloud Functions. 

Informations
+

Impacts

  • Divulgation d'informations
  • Exécution de code arbitraire

Criticité

  • CVSS v3 : Le score CVSS n'a pas encore été défini

Existence d’un code d’exploitation de la vulnérabilité

  • Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • Apache OpenWhisk

CVE

  • CVE-2018-11756
  • CVE-2018-11757

Recommandations
+

Correctifs

  • Les développeurs Apache OpenWhisk et IBM ont publié des correctifs.

Solution de contournement

  • Il n’existe pas actuellement de solution de contournement.