Google Kubernetes kube-controller-manager 代码问题漏洞

CVE编号

CVE-2020-8555

利用情况

暂无

补丁情况

官方补丁

披露时间

2020-06-06

漏洞描述

Google Kubernetes是美国谷歌（Google）公司的一套开源的Docker容器集群管理系统。该系统为容器化的应用提供资源调度、部署运行、服务发现和扩容缩容等功能。kube-controller-manager是其中的一个Kubernetes控制器管理器。 Google Kubernetes中的kube-controller-manager存在代码问题漏洞。攻击者可利用该漏洞从未受保护的端点上获取任意内容（500字节）。以下产品及版本受到影响：kube-controller-manager v1.15.12之前版本，v1.16.9之前版本，v1.17.5之前版本，v1.18.0之前版本。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://github.com/kubernetes/kubernetes/issues/91542

参考链接
http://www.openwall.com/lists/oss-security/2020/06/01/4
http://www.openwall.com/lists/oss-security/2021/05/04/8
https://github.com/kubernetes/kubernetes/issues/91542
https://groups.google.com/d/topic/kubernetes-security-announce/kEK27tqqs30/discussion
https://lists.fedoraproject.org/archives/list/[email protected]...
https://security.netapp.com/advisory/ntap-20200724-0005/

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	kubernetes	kubernetes	*		Up to (excluding) 1.15.11
	运行在以下环境
	应用	kubernetes	kubernetes	*	From (including) 1.16.0	Up to (excluding) 1.16.9
	运行在以下环境
	应用	kubernetes	kubernetes	*	From (including) 1.17.0	Up to (excluding) 1.17.5
	运行在以下环境
	应用	kubernetes	kubernetes	1.18.0	-
	运行在以下环境
	系统	alpine_3.13	k3s	*		Up to (excluding) 1.18.3.1-r0
	运行在以下环境
	系统	alpine_3.14	k3s	*		Up to (excluding) 1.18.3.1-r0
	运行在以下环境
	系统	alpine_3.15	k3s	*		Up to (excluding) 1.18.3.1-r0
	运行在以下环境
	系统	alpine_edge	k3s	*		Up to (excluding) 1.18.3.1-r0
	运行在以下环境
	系统	fedora_32	k3s	*		Up to (excluding) 3.11.2-1.fc32
	运行在以下环境
	系统	oracle_7	k3s	*		Up to (excluding) 1.12.10-1.0.12.el7

攻击路径远程
攻击复杂度困难
权限要求普通权限
影响范围越权影响
EXP成熟度未验证
补丁情况官方补丁
数据保密性无影响
数据完整性无影响
服务器危害无影响
全网数量 100

CWE-ID 漏洞类型 CWE-918 服务端请求伪造（SSRF）

正文

Google Kubernetes kube-controller-manager 代码问题漏洞

漏洞描述

解决建议

参考链接

受影响软件情况

相关阅读

IBM InfoSphere Master Data Management up to 11.4.0.4 GDS 跨站脚本攻击

IBM Tivoli Federated Identity Manager up to 6.2.2 FP15 跨站脚本攻击

IBM WebSphere MQ Light拒绝服务漏洞

IBM Security Network Protection GSKit信息泄露漏洞

发表评论取消回复

还没有评论，来说两句吧...

目录[+]