Plataforma
kubernetes
Componente
kubernetes
Corregido en
N/A
N/A
N/A
N/A
N/A
N/A
N/A
CVE-2019-11244 afecta a Kubernetes en las versiones 1.8.0 hasta 1.14.x. Esta vulnerabilidad se debe a que el caché de información del esquema de kubectl se almacena con permisos de escritura global, lo que permite a usuarios no autorizados modificar los archivos y potencialmente interrumpir la ejecución de kubectl. La actualización a la versión 1.14 o superior mitiga este riesgo.
La principal consecuencia de esta vulnerabilidad es la posibilidad de que usuarios no autorizados modifiquen los archivos de caché de esquema de kubectl. Esto podría llevar a un comportamiento inesperado en las interacciones con el clúster Kubernetes, incluyendo la imposibilidad de ejecutar comandos de kubectl o la ejecución de comandos con resultados incorrectos. Aunque la severidad es baja, la facilidad de explotación y el potencial de interrupción del servicio hacen que sea importante abordar esta vulnerabilidad. No se requiere acceso privilegiado al clúster para explotar esta vulnerabilidad, solo acceso al mismo sistema de archivos donde se almacena el caché.
Esta vulnerabilidad fue publicada el 22 de abril de 2019. No se ha reportado explotación activa en entornos de producción. La probabilidad de explotación se considera baja debido a la necesidad de acceso al mismo sistema de archivos que kubectl y la relativa complejidad de la explotación. No está listada en el KEV de CISA.
Kubernetes clusters running versions 1.8.0 through 1.14.x are at risk, particularly those where the --cache-dir flag is used with a directory accessible to multiple users or groups. Shared hosting environments and clusters with less stringent access controls are especially vulnerable.
• linux / server:
find /home/$USER/.kube/http-cache -perm -o=rwxrwxrwx• kubernetes / cluster:
Check kubectl configuration files for the --cache-dir flag and verify the permissions of the specified directory.
disclosure
Estado del Exploit
EPSS
0.10% (27% percentil)
Vector CVSS
La mitigación principal es actualizar Kubernetes a la versión 1.14 o superior, donde se corrigió esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda cambiar la ubicación del directorio de caché (--cache-dir) a un directorio con permisos más restrictivos, de modo que solo el usuario que ejecuta kubectl tenga acceso de escritura. Además, se puede considerar la implementación de controles de acceso a nivel de sistema de archivos para restringir el acceso a los archivos de caché. Verifique la correcta aplicación de los permisos después de la actualización o configuración del directorio de caché.
Actualizar Kubernetes a una versión posterior a la 1.14.x. Como medida temporal, asegúrese de que el directorio de caché de kubectl (--cache-dir) no sea accesible por otros usuarios/grupos, o no lo especifique para usar el valor por defecto en el directorio home del usuario.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2019-11244 is a LOW severity vulnerability in Kubernetes affecting versions 1.8.0–v1.14*. It allows potential modification of cached schema files, disrupting kubectl operations.
You are affected if your Kubernetes cluster is running versions 1.8.0 through 1.14.x and kubectl is configured to use a world-writeable cache directory.
Upgrade your Kubernetes cluster to version 1.14* or later. If immediate upgrade is not possible, restrict access to the --cache-dir directory.
There is no public evidence of active exploitation of CVE-2019-11244 at this time.
Refer to the Kubernetes security advisory at https://kubernetes.io/blog/2019/04/22/security-announcement-CVE-2019-11244/
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.