Platform
kubernetes
Component
kubernetes
Opgelost in
N/A
N/A
N/A
N/A
N/A
N/A
N/A
CVE-2019-11244 beschrijft een kwetsbaarheid in Kubernetes, specifiek in versies 1.8.0 tot en met 1.14. Deze kwetsbaarheid betreft het onjuist instellen van permissies voor de cache-directory van kubectl. Door de wereld-schrijfbare permissies kan een aanvaller de cache-bestanden wijzigen en zo de werking van kubectl verstoren.
Een aanvaller kan deze kwetsbaarheid uitbuiten door de cache-directory van kubectl te manipuleren. Dit kan leiden tot onvoorspelbaar gedrag van kubectl, waardoor beheeracties op de Kubernetes-cluster mislukken of onjuiste resultaten opleveren. De impact is vooral groot in omgevingen waar meerdere gebruikers toegang hebben tot dezelfde machine of waar de cache-directory op een gedeelde schijf staat. Hoewel de CVSS-score laag is, kan de verstoring van beheeracties aanzienlijke gevolgen hebben voor de beschikbaarheid en integriteit van het Kubernetes-cluster.
Deze kwetsbaarheid is openbaar bekend en er zijn geen bekende actieve campagnes gemeld. Er zijn geen publieke proof-of-concept exploits beschikbaar. De kwetsbaarheid is opgenomen in het CISA KEV catalogus. De lage CVSS-score duidt op een lage waarschijnlijkheid van exploitatie, maar de potentiële impact op beheeracties vereist aandacht.
Kubernetes clusters running versions 1.8.0 through 1.14.x are at risk, particularly those where the --cache-dir flag is used with a directory accessible to multiple users or groups. Shared hosting environments and clusters with less stringent access controls are especially vulnerable.
• linux / server:
find /home/$USER/.kube/http-cache -perm -o=rwxrwxrwx• kubernetes / cluster:
Check kubectl configuration files for the --cache-dir flag and verify the permissions of the specified directory.
disclosure
Exploit Status
EPSS
0.10% (27% percentiel)
CVSS-vector
De primaire mitigatie is het upgraden van Kubernetes naar versie 1.14 of hoger, waar deze kwetsbaarheid is verholpen. Als een upgrade momenteel niet mogelijk is, kan de cache-directory worden beveiligd door de permissies te wijzigen zodat alleen de gebruiker die kubectl uitvoert, schrijfrechten heeft. Dit kan worden gedaan met chmod 700 ~/.kube/http-cache. Controleer ook of de --cache-dir optie niet wordt gebruikt met een locatie die toegankelijk is voor andere gebruikers. Na de upgrade, controleer de permissies van de cache-directory om te bevestigen dat deze correct zijn ingesteld.
Werk Kubernetes bij naar een versie later dan 1.14.x. Als tijdelijke maatregel, zorg ervoor dat de kubectl cache directory (--cache-dir) niet toegankelijk is voor andere gebruikers/groepen, of specificeer deze niet om de standaardwaarde in de gebruikers home directory te gebruiken.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2019-11244 is a LOW severity vulnerability in Kubernetes affecting versions 1.8.0–v1.14*. It allows potential modification of cached schema files, disrupting kubectl operations.
You are affected if your Kubernetes cluster is running versions 1.8.0 through 1.14.x and kubectl is configured to use a world-writeable cache directory.
Upgrade your Kubernetes cluster to version 1.14* or later. If immediate upgrade is not possible, restrict access to the --cache-dir directory.
There is no public evidence of active exploitation of CVE-2019-11244 at this time.
Refer to the Kubernetes security advisory at https://kubernetes.io/blog/2019/04/22/security-announcement-CVE-2019-11244/
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.