Plateforme
kubernetes
Composant
kubernetes
Corrigé dans
N/A
N/A
N/A
N/A
N/A
N/A
N/A
La vulnérabilité CVE-2019-11244 affecte Kubernetes versions 1.8.0 à 1.14.x. Elle permet à des utilisateurs non autorisés d'accéder et potentiellement de modifier les fichiers de cache de kubectl, compromettant l'intégrité des configurations. Cette faille est due à des permissions incorrectes sur le répertoire de cache spécifié par l'option --cache-dir. Une mise à jour vers la version 1.14 ou supérieure corrige ce problème.
Cette vulnérabilité permet à un attaquant sur le même système que le client kubectl d'accéder aux fichiers de cache. Ces fichiers contiennent des informations sensibles, telles que les configurations des clusters Kubernetes et les informations d'authentification. Un attaquant pourrait modifier ces fichiers pour compromettre le cluster, par exemple en modifiant les règles d'accès ou en injectant du code malveillant. L'impact est amplifié si le répertoire de cache est configuré avec des permissions trop permissives, le rendant accessible à un plus grand nombre d'utilisateurs. Bien que l'exploitation nécessite un accès local, elle peut entraîner une compromission significative du cluster Kubernetes.
Cette vulnérabilité a été divulguée publiquement le 22 avril 2019. Il n'y a pas d'indication d'exploitation active à grande échelle. Bien que la vulnérabilité nécessite un accès local, sa simplicité d'exploitation la rend potentiellement intéressante pour les attaquants ayant déjà compromis un nœud du cluster. Aucun PoC public n'est connu à ce jour, mais la divulgation de la vulnérabilité a rendu son exploitation potentiellement plus accessible.
Kubernetes clusters running versions 1.8.0 through 1.14.x are at risk, particularly those where the --cache-dir flag is used with a directory accessible to multiple users or groups. Shared hosting environments and clusters with less stringent access controls are especially vulnerable.
• linux / server:
find /home/$USER/.kube/http-cache -perm -o=rwxrwxrwx• kubernetes / cluster:
Check kubectl configuration files for the --cache-dir flag and verify the permissions of the specified directory.
disclosure
Statut de l'Exploit
EPSS
0.10% (percentile 27%)
Vecteur CVSS
La mitigation principale consiste à mettre à jour Kubernetes vers la version 1.14 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, il est crucial de restreindre les permissions du répertoire de cache (--cache-dir). Assurez-vous que seul l'utilisateur exécutant kubectl a les droits d'écriture sur ce répertoire. Vous pouvez également envisager de supprimer l'option --cache-dir et de laisser kubectl utiliser le répertoire par défaut, en vérifiant que les permissions sont correctement configurées. Surveillez les journaux système pour détecter toute tentative d'accès non autorisé au répertoire de cache.
Mettre à jour Kubernetes vers une version ultérieure à la 1.14.x. En tant que mesure temporaire, assurez-vous que le répertoire de cache de kubectl (--cache-dir) n'est pas accessible par d'autres utilisateurs/groupes, ou ne le spécifiez pas pour utiliser la valeur par défaut dans le répertoire home de l'utilisateur.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2019-11244 is a LOW severity vulnerability in Kubernetes affecting versions 1.8.0–v1.14*. It allows potential modification of cached schema files, disrupting kubectl operations.
You are affected if your Kubernetes cluster is running versions 1.8.0 through 1.14.x and kubectl is configured to use a world-writeable cache directory.
Upgrade your Kubernetes cluster to version 1.14* or later. If immediate upgrade is not possible, restrict access to the --cache-dir directory.
There is no public evidence of active exploitation of CVE-2019-11244 at this time.
Refer to the Kubernetes security advisory at https://kubernetes.io/blog/2019/04/22/security-announcement-CVE-2019-11244/
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.