Kubernetes: CVE-2020-8552: apiserver DoS (tio)

Criado em 23 mar. 2020  ·  2Comentários  ·  Fonte: kubernetes/kubernetes

Avaliação CVSS: CVSS: 3,0 / AV : N / AC: L / PR: N / UI: N / S: U / C: N / I: N / A: L (médio)

Descobriu-se que o servidor da API Kubernetes é vulnerável a um ataque de negação de serviço por meio de solicitações autorizadas da API.

Estou vulnerável?

Se um invasor pode fazer uma solicitação de recurso autorizado a um servidor API sem patch (veja abaixo), você está vulnerável a isso. Antes da v1.14, isso era possível por meio de solicitações não autenticadas por padrão.

Versões afetadas

  • kube-apiserver v1.17.0 - v1.17.2
  • kube-apiserver v1.16.0 - v1.16.6
  • kube-apiserver <v1.15.10

Como faço para atenuar essa vulnerabilidade?

Antes da atualização, esta vulnerabilidade pode ser atenuada por:

  • Impedir o acesso não autenticado ou não autorizado a todas as apis
  • O apiserver deve reiniciar automaticamente se OOMs

Versões Fixas

  • v1.17.3
  • v1.16.7
  • v1.15.10

Para atualizar, consulte a documentação: https://kubernetes.io/docs/tasks/administer-cluster/cluster-management/#upgrading -a-cluster

Reconhecimentos

Esta vulnerabilidade foi relatada por: Gus Lees (Amazon)

/ área de segurança
/ tipo bug
/ comitê produto-segurança
/ sig api-machines

aresecurity committeproduct-security kinbug siapi-machinery

Comentários muito úteis

É possível incluir um link para o PR / commit que corrigiu isso?

Todos 2 comentários

É possível incluir um link para o PR / commit que corrigiu isso?

Esta página foi útil?
0 / 5 - 0 avaliações

Questões relacionadas

errordeveloper picture errordeveloper  ·  3Comentários

theothermike picture theothermike  ·  3Comentários

rhohubbuild picture rhohubbuild  ·  3Comentários

cooligc picture cooligc  ·  3Comentários

ttripp picture ttripp  ·  3Comentários