kubectl बनाता है विश्व-लिखने योग्य कैश्ड स्कीमा फाइलें

यह भेद्यता एक हमलावर को kubectl के कैश फ़ाइलों को संशोधित करने की अनुमति देती है, जो kubectl के संचालन को बाधित कर सकती है। हमलावर kubectl के माध्यम से क्लस्टर के साथ इंटरैक्ट करने की क्षमता को प्रभावित कर सकता है, जिससे संभावित रूप से क्लस्टर प्रबंधन में समस्याएं हो सकती हैं। यदि --cache-dir विकल्प का उपयोग किया जाता है और इसे किसी ऐसे स्थान पर इंगित किया जाता है जो अन्य उपयोगकर्ताओं या समूहों के लिए सुलभ है, तो यह जोखिम बढ़ जाता है। यह भेद्यता क्लस्टर के भीतर विशेषाधिकारों के उन्नयन का कारण नहीं बन सकती है, लेकिन यह क्लस्टर के प्रबंधन को गंभीर रूप से बाधित कर सकती है।

Kubernetes clusters running versions 1.8.0 through 1.14.x are at risk, particularly those where the --cache-dir flag is used with a directory accessible to multiple users or groups. Shared hosting environments and clusters with less stringent access controls are especially vulnerable.

• linux / server:

find /home/$USER/.kube/http-cache -perm -o=rwxrwxrwx

• kubernetes / cluster: Check kubectl configuration files for the --cache-dir flag and verify the permissions of the specified directory.

1. 2019-04-22Disclosure

   disclosure

1. आरक्षित2019-04-17
2. प्रकाशित2019-04-22
3. संशोधित2024-08-04
4. EPSS अद्यतन2026-04-02

CVE-2019-11244 के लिए प्राथमिक शमन उपाय Kubernetes को संस्करण v1.14* या उच्चतर में अपग्रेड करना है। यदि अपग्रेड संभव नहीं है, तो --cache-dir विकल्प का उपयोग करने से बचें, क्योंकि यह डिफ़ॉल्ट रूप से $HOME/.kube/http-cache पर सेट होता है। यदि --cache-dir का उपयोग करना आवश्यक है, तो सुनिश्चित करें कि निर्देशिका केवल kubectl उपयोगकर्ता द्वारा ही लिखी जा सकती है। WAF या प्रॉक्सी नियमों को लागू करने से इस भेद्यता का सीधे शमन नहीं होगा, लेकिन kubectl के संचार को सुरक्षित करने में मदद मिल सकती है।