CVSS評価: CVSS:3.0 / AV :N / AC:L / PR:N / UI:N / S:U / C:N / I:N / A:L(中)
Kubernetes APIサーバーは、承認されたAPIリクエストを介したサービス拒否攻撃に対して脆弱であることが判明しています。
パッチが適用されていないAPIサーバー(以下を参照)に対して許可されたリソース要求を行うことができる攻撃者の場合、これに対して脆弱です。 v1.14より前は、これはデフォルトで認証されていない要求を介して可能でした。
アップグレードする前に、この脆弱性は次の方法で軽減できます。
アップグレードするには、ドキュメントを参照してください: //kubernetes.io/docs/tasks/administer-cluster/cluster-management/#upgrading -a-cluster
この脆弱性の報告者:Gus Lees(Amazon)
/エリアセキュリティ
/種類のバグ
/委員会の製品-セキュリティ
/ sig api-machinery
これを修正したPR /コミットへのリンクを含めることは可能ですか?
これはhttps://github.com/kubernetes/kubernetes/pull/87669によって修正されました
最も参考になるコメント
これを修正したPR /コミットへのリンクを含めることは可能ですか?