[TLP:CLEAR] Kubernetes opravuje 1 zraniteľnosť

Kubernetes verziami 1.28.4, 1.27.8, 1.26.11 a 1.25.16 opravuje 1 zraniteľnosť.

Kubernetes - RCE (CVE-2023-5528) CVSS 7.2 (High)

Autentizovanému vzdialenému útočníkovi s právami na vytváranie podov a perzistentných úložísť (volumes) na Windows uzloch je umožnené neoprávnene vykonávať príkazy s právami administrátora. Zraniteľnosť sa týka iba Windows systémov, ktoré využívajú rozšírenie na ukladanie dát do stromu. Overenie, či sa v systéme nachádzajú (potencionálne zraniteľné) Windows Kubernetes uzly je možné pomocou príkazu "kubectl get nodes -l kubernetes.io/os=windows" [1][2].

Zraniteľnosť sa nachádza v produkte Kubernetes vo verziách (>=1.28.0 AND <1.28.4) OR (>=1.27.0 AND <1.27.8) OR (>=1.26.0 AND <1.26.11) OR (>=1.8.0 AND <1.25.16).

CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

Viac informácií:

Zraniteľnosť bola verejne oznámená 13. 3. 2024.


Publikoval Martin Krajči dňa 18. 3. 2024.

CESNET CERTS Logo