Classement CVSS: CVSS: 3.0 / AV : N / AC: L / PR: N / UI: N / S: U / C: N / I: N / A: L (Moyen)
Le serveur API Kubernetes s'est révélé vulnérable à une attaque par déni de service via des requêtes API autorisées.
Si un attaquant peut faire une demande de ressource autorisée à un serveur d'API non corrigé (voir ci-dessous), vous êtes vulnérable à cela. Avant la v1.14, cela était possible via des requêtes non authentifiées par défaut.
Avant la mise à niveau, cette vulnérabilité peut être atténuée par:
Pour mettre à niveau, reportez-vous à la documentation: https://kubernetes.io/docs/tasks/administer-cluster/cluster-management/#upgrading -a-cluster
Cette vulnérabilité a été signalée par: Gus Lees (Amazon)
/ sécurité de la zone
/ genre bug
/ comité produit-sécurité
/ sig api-machines
Est-il possible d'inclure un lien vers le PR / commit qui a corrigé ce problème?
Cela a été résolu par https://github.com/kubernetes/kubernetes/pull/87669
Commentaire le plus utile
Est-il possible d'inclure un lien vers le PR / commit qui a corrigé ce problème?