Kubernetes: CVE-2020-8552: apiserver DoS (oncle)

Classement CVSS: CVSS: 3.0 / AV : N / AC: L / PR: N / UI: N / S: U / C: N / I: N / A: L (Moyen)

Le serveur API Kubernetes s'est révélé vulnérable à une attaque par déni de service via des requêtes API autorisées.

Suis-je vulnérable?

Si un attaquant peut faire une demande de ressource autorisée à un serveur d'API non corrigé (voir ci-dessous), vous êtes vulnérable à cela. Avant la v1.14, cela était possible via des requêtes non authentifiées par défaut.

Versions affectées

• kube-apiserver v1.17.0 - v1.17.2
• kube-apiserver v1.16.0 - v1.16.6
• kube-apiserver <v1.15.10

Comment atténuer cette vulnérabilité?

Avant la mise à niveau, cette vulnérabilité peut être atténuée par:

• Empêcher l'accès non authentifié ou non autorisé à toutes les API
• L'apiserver doit redémarrer automatiquement s'il fait un MOO

Versions fixes

• v1.17.3
• v1.16.7
• v1.15.10

Pour mettre à niveau, reportez-vous à la documentation: https://kubernetes.io/docs/tasks/administer-cluster/cluster-management/#upgrading -a-cluster

Remerciements

Cette vulnérabilité a été signalée par: Gus Lees (Amazon)

/ sécurité de la zone
/ genre bug
/ comité produit-sécurité
/ sig api-machines