LOWCVE-2019-11244CVSS 3.3

kubectl が world-writeable なキャッシュされたスキーマファイルを生成する

Q: CVE-2019-11244 — 情報漏洩 in Kubernetesとは何ですか？

CVE-2019-11244は、Kubernetes v1.8.0–v1.14*において、kubectlのキャッシュディレクトリのアクセス権が不適切に設定される脆弱性です。攻撃者は、キャッシュファイルを改ざんし、kubectlの動作を妨害する可能性があります。

Q: CVE-2019-11244 in Kubernetesに影響を受けますか？

Kubernetesのバージョンがv1.8.0–v1.14*である場合、この脆弱性に影響を受ける可能性があります。Kubernetes v1.14*以降にアップグレードすることで、この脆弱性は修正されます。

プラットフォーム

kubernetes

コンポーネント

kubernetes

修正版

N/A

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2019-11244は、Kubernetesにおける情報漏洩の脆弱性です。この脆弱性は、kubectlがキャッシュするスキーマ情報を、世界から書き込み可能な権限で保存するため、他のユーザーがキャッシュファイルを改ざんし、kubectlの動作を妨害する可能性があります。影響を受けるバージョンはKubernetes v1.8.0–v1.14です。Kubernetes v1.14以降にアップグレードすることで、この脆弱性は修正されます。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者はkubectlが使用するキャッシュファイルを改ざんし、Kubernetesクラスタへのアクセスを妨害したり、誤った情報をkubectlに提供したりする可能性があります。これにより、クラスタの管理者が誤った判断を下し、セキュリティ上の問題を引き起こす可能性があります。また、攻撃者はキャッシュファイルを監視することで、機密情報（APIリクエストなど）を盗み出す可能性も考えられます。この脆弱性は、特に共有ホスト環境や、kubectlのキャッシュディレクトリのアクセス権が適切に設定されていない環境において、深刻な影響を与える可能性があります。

悪用の状況

この脆弱性は、公開されている情報に基づいて悪用される可能性があります。現時点では、KEVに登録されていませんが、Kubernetesクラスタの管理者は、この脆弱性に対する対策を講じることを推奨します。公開されているPoCは確認されていませんが、Kubernetesクラスタのセキュリティを強化するために、定期的な脆弱性スキャンとパッチ適用を行うことが重要です。NVD公開日は2019年4月22日です。

リスク対象者翻訳中…

Kubernetes clusters running versions 1.8.0 through 1.14.x are at risk, particularly those where the --cache-dir flag is used with a directory accessible to multiple users or groups. Shared hosting environments and clusters with less stringent access controls are especially vulnerable.

検出手順翻訳中…

• linux / server:

find /home/$USER/.kube/http-cache -perm -o=rwxrwxrwx

• kubernetes / cluster: Check kubectl configuration files for the --cache-dir flag and verify the permissions of the specified directory.

攻撃タイムライン

2019-04-22Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出低

EPSS

0.10% (27% パーセンタイル)

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントkubernetes

ベンダーKubernetes

影響範囲修正版

1.8.0 – 1.8.9999N/A

1.9.0 – 1.9.9999N/A

1.10.0 – 1.10.9999N/A

1.11.0 – 1.11.9999N/A

1.12.0 – 1.12.9999N/A

1.13.0 – 1.13.9999N/A

1.14.0 – 1.14.9999N/A

弱点分類 (CWE)

CWE-524

タイムライン

予約済み2019-04-17
公開日2019-04-22
更新日2024-08-04
EPSS 更新日2026-04-02

緩和策と回避策

この脆弱性への対応策として、Kubernetesをv1.14*以降のバージョンにアップグレードすることが推奨されます。アップグレードが困難な場合は、kubectlのキャッシュディレクトリのアクセス権を制限し、他のユーザーやグループからの書き込みを禁止してください。具体的には、--cache-dirオプションを使用して、アクセス権が制限されたディレクトリを指定することが有効です。また、WAFやIPSなどのセキュリティ対策を導入し、kubectlの通信を監視することで、不正なアクセスを検知することも有効です。

修正方法

Kubernetes を 1.14.x より後のバージョンにアップデートしてください。一時的な対策として、kubectl のキャッシュディレクトリ (--cache-dir) が他のユーザー/グループからアクセスできないようにするか、デフォルトのユーザーホームディレクトリの値を使用するために指定しないようにしてください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2019-11244 — 情報漏洩 in Kubernetesとは何ですか？

CVE-2019-11244は、Kubernetes v1.8.0–v1.14*において、kubectlのキャッシュディレクトリのアクセス権が不適切に設定される脆弱性です。攻撃者は、キャッシュファイルを改ざんし、kubectlの動作を妨害する可能性があります。

CVE-2019-11244 in Kubernetesに影響を受けますか？

Kubernetesのバージョンがv1.8.0–v1.14である場合、この脆弱性に影響を受ける可能性があります。Kubernetes v1.14以降にアップグレードすることで、この脆弱性は修正されます。

CVE-2019-11244 in Kubernetesを修正するにはどうすればよいですか？

Kubernetesをv1.14*以降のバージョンにアップグレードすることが推奨されます。アップグレードが困難な場合は、kubectlのキャッシュディレクトリのアクセス権を制限してください。

CVE-2019-11244は積極的に悪用されていますか？

現時点では、CVE-2019-11244を悪用した事例は確認されていませんが、公開されている情報に基づいて悪用される可能性があります。

CVE-2019-11244に関するKubernetesの公式アドバイザリはどこで入手できますか？

Kubernetesの公式アドバイザリは、[https://kubernetes.io/security/advisories/](https://kubernetes.io/security/advisories/)で確認できます。