Plataforma
kubernetes
Componente
kube-rbac-proxy
Corregido en
0.4.2
La vulnerabilidad CVE-2019-3818 afecta a kube-rbac-proxy en versiones anteriores a 0.4.1, particularmente en Red Hat OpenShift Container Platform. Esta falla permite que el componente no respete las configuraciones TLS, lo que resulta en el uso de cifrados débiles y el protocolo TLS 1.0. Esto puede comprometer la confidencialidad del tráfico transmitido a través de conexiones TLS. La vulnerabilidad fue publicada el 5 de febrero de 2019 y se ha solucionado en la versión 0.4.1.
Un atacante podría aprovechar esta vulnerabilidad para interceptar y descifrar el tráfico TLS que pasa por el kube-rbac-proxy. Al explotar configuraciones TLS inseguras, el atacante podría comprometer la confidencialidad de los datos transmitidos, incluyendo información sensible como credenciales de autenticación y datos de aplicaciones. La falta de validación de la configuración TLS permite el uso de algoritmos de cifrado obsoletos y protocolos vulnerables, reduciendo significativamente la seguridad de las comunicaciones. Aunque la severidad es baja, la amplia adopción de Kubernetes y OpenShift hace que esta vulnerabilidad sea un riesgo significativo para muchas organizaciones.
La vulnerabilidad CVE-2019-3818 no se encuentra en el KEV de CISA. La probabilidad de explotación activa es considerada baja debido a la necesidad de un conocimiento profundo de la configuración de kube-rbac-proxy y la relativa complejidad de la explotación. No se han reportado públicamente campañas de explotación activas dirigidas a esta vulnerabilidad, aunque la disponibilidad de información sobre la vulnerabilidad podría facilitar futuros ataques. La vulnerabilidad fue divulgada públicamente el 5 de febrero de 2019.
Organizations utilizing Red Hat OpenShift Container Platform with kube-rbac-proxy versions prior to 0.4.1 are at risk. This includes environments relying on OpenShift's built-in RBAC features and those with custom applications integrated with the platform's authentication and authorization mechanisms.
• kubernetes / server:
kubectl get pods -n kube-system | grep kube-rbac-proxy• kubernetes / server:
kubectl describe pod <kube-rbac-proxy-pod> -n kube-system | grep -i tls• kubernetes / server:
journalctl -u kube-rbac-proxy -f | grep -i "TLS configuration"disclosure
Estado del Exploit
EPSS
0.07% (23% percentil)
Vector CVSS
La mitigación principal para CVE-2019-3818 es actualizar kube-rbac-proxy a la versión 0.4.1 o superior. Si la actualización no es inmediatamente posible, se recomienda revisar y fortalecer la configuración TLS del kube-rbac-proxy para asegurar el uso de cifrados robustos y protocolos TLS modernos (TLS 1.2 o superior). Implementar reglas en un proxy inverso o firewall de aplicaciones web (WAF) para bloquear el tráfico que utiliza cifrados débiles o TLS 1.0 puede proporcionar una capa adicional de protección. Monitorear los registros del sistema en busca de patrones de tráfico inusuales o intentos de conexión con configuraciones TLS inseguras también es crucial.
Actualice kube-rbac-proxy a la versión 0.4.1 o superior. Esto corrige la configuración TLS para evitar el uso de cifrados inseguros y TLS 1.0, fortaleciendo la seguridad de las conexiones TLS.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2019-3818 es una vulnerabilidad en kube-rbac-proxy (versiones ≤0.4.1) que permite el uso de cifrados débiles y TLS 1.0, comprometiendo la encriptación del tráfico TLS.
Si está utilizando Red Hat OpenShift Container Platform con kube-rbac-proxy en una versión anterior a 0.4.1, es probable que esté afectado por esta vulnerabilidad.
La solución es actualizar kube-rbac-proxy a la versión 0.4.1 o superior. Si la actualización no es posible, fortalezca la configuración TLS.
No se han reportado campañas de explotación activas, pero la vulnerabilidad es conocida y podría ser explotada en el futuro.
Consulte la documentación oficial de Red Hat OpenShift Container Platform para obtener información detallada sobre la vulnerabilidad y las actualizaciones disponibles.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.