[TLP:CLEAR] Kubernetes opravuje 1 zraniteľnosť
Kubernetes verziami 1.28.4, 1.27.8, 1.26.11 a 1.25.16 opravuje 1 zraniteľnosť.
Autentizovanému vzdialenému útočníkovi s právami na vytváranie podov a perzistentných úložísť (volumes) na Windows uzloch je umožnené neoprávnene vykonávať príkazy s právami administrátora. Zraniteľnosť sa týka iba Windows systémov, ktoré využívajú rozšírenie na ukladanie dát do stromu. Overenie, či sa v systéme nachádzajú (potencionálne zraniteľné) Windows Kubernetes uzly je možné pomocou príkazu "kubectl get nodes -l kubernetes.io/os=windows" [1][2].
Zraniteľnosť sa nachádza v produkte Kubernetes vo verziách (>=1.28.0 AND <1.28.4) OR (>=1.27.0 AND <1.27.8) OR (>=1.26.0 AND <1.26.11) OR (>=1.8.0 AND <1.25.16).
CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Viac informácií:
- CVE-2023-5528 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-20: Improper Input Validation at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 13. 3. 2024.