ASA-2019-00162 – Kubernetes: Problema de segurança permite que o tráfego seja processado pelo HostPort/portmap em vez de pelo KUBE-SERVICES

Publicado em por Allele Security Intelligence em Alertas

For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00162

Identificador(es)

ASA-2019-00162, CVE-2019-9946

Título

Problema de segurança permite que o tráfego seja processado pelo HostPort/portmap em vez de pelo KUBE-SERVICES

Fabricante(s)

Cloud Native Computing Foundation

Produto(s)

Kubernetes

Versão(ões) afetada(s)

Kubernetes versões anterior à 1.11.9
Kubernetes versões anterior à 1.12.7
Kubernetes versões anterior à 1.13.5
Kubernetes versões anterior à 1.14.0

Versão(ões) corrigida(s)

Kubernetes 1.11.9
Kubernetes 1.12.7
Kubernetes 1.13.5
Kubernetes 1.14.0

Prova de conceito

Desconhecido

Descrição

Foi descoberto um problema de segurança com interações entre as versões do plug-in do portmap CNI (Container Networking Interface) anteriores a 0.7.5 e Kubernetes. O plug-in do portmap da CNI é incorporado nos lançamentos do Kubernetes, portanto, novas versões do Kubernetes são necessárias para corrigir esse problema.

Detalhes técnicos

Antes da correção, o plug-in “portmap”, usado para configurar o HostPorts para CNI, inseria regras na frente do iptables net chains; que teria precedência sobre KUBE-SERVICES chains. Por causa disso, a regra HostPort/portmap poderia corresponder ao tráfego de entrada mesmo se houvesse regras de definição de serviço mais adequadas, como NodePorts, posteriormente na chain.

Alternar o plug-in do portmap para anexar suas regras, em vez de prefixar, permite que o tráfego seja processado primeiro pelas regras do KUBE-SERVICES. Somente se o tráfego não corresponder a um serviço, ele será considerado para o HostPorts. Isso é compatível com o comportamento do driver de rede herdado “kubenet”.

Créditos

Etienne Champetier (Anevia)

Referência(s)

[ANNOUNCE] Security release of Kubernetes affecting certain network configurations with CNI – Releases 1.11.9, 1.12.7, 1.13.5, and 1.14.0 – CVE-2019-9946
https://discuss.kubernetes.io/t/announce-security-release-of-kubernetes-affecting-certain-network-configurations-with-cni-releases-1-11-9-1-12-7-1-13-5-and-1-14-0-cve-2019-9946/5713

build/gci: bump CNI version to 0.7.5 – CVE-2019-9946 #75455
https://github.com/kubernetes/kubernetes/pull/75455

Portmap: append, rather than prepend, entry rules – CVE-2019-9946 #269
https://github.com/containernetworking/plugins/pull/269

CVE-2019-9946
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9946

CVE-2019-9946
https://nvd.nist.gov/vuln/detail/CVE-2019-9946

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 23 setembro 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.