For the English version of this alert, click here.
Allele Security Alert
ASA-2019-00162
Identificador(es)
ASA-2019-00162, CVE-2019-9946
Título
Problema de segurança permite que o tráfego seja processado pelo HostPort/portmap em vez de pelo KUBE-SERVICES
Fabricante(s)
Cloud Native Computing Foundation
Produto(s)
Kubernetes
Versão(ões) afetada(s)
Kubernetes versões anterior à 1.11.9
Kubernetes versões anterior à 1.12.7
Kubernetes versões anterior à 1.13.5
Kubernetes versões anterior à 1.14.0
Versão(ões) corrigida(s)
Kubernetes 1.11.9
Kubernetes 1.12.7
Kubernetes 1.13.5
Kubernetes 1.14.0
Prova de conceito
Desconhecido
Descrição
Foi descoberto um problema de segurança com interações entre as versões do plug-in do portmap CNI (Container Networking Interface) anteriores a 0.7.5 e Kubernetes. O plug-in do portmap da CNI é incorporado nos lançamentos do Kubernetes, portanto, novas versões do Kubernetes são necessárias para corrigir esse problema.
Detalhes técnicos
Antes da correção, o plug-in “portmap”, usado para configurar o HostPorts para CNI, inseria regras na frente do iptables net chains; que teria precedência sobre KUBE-SERVICES chains. Por causa disso, a regra HostPort/portmap poderia corresponder ao tráfego de entrada mesmo se houvesse regras de definição de serviço mais adequadas, como NodePorts, posteriormente na chain.
Alternar o plug-in do portmap para anexar suas regras, em vez de prefixar, permite que o tráfego seja processado primeiro pelas regras do KUBE-SERVICES. Somente se o tráfego não corresponder a um serviço, ele será considerado para o HostPorts. Isso é compatível com o comportamento do driver de rede herdado “kubenet”.
Créditos
Etienne Champetier (Anevia)
Referência(s)
[ANNOUNCE] Security release of Kubernetes affecting certain network configurations with CNI – Releases 1.11.9, 1.12.7, 1.13.5, and 1.14.0 – CVE-2019-9946
https://discuss.kubernetes.io/t/announce-security-release-of-kubernetes-affecting-certain-network-configurations-with-cni-releases-1-11-9-1-12-7-1-13-5-and-1-14-0-cve-2019-9946/5713
build/gci: bump CNI version to 0.7.5 – CVE-2019-9946 #75455
https://github.com/kubernetes/kubernetes/pull/75455
Portmap: append, rather than prepend, entry rules – CVE-2019-9946 #269
https://github.com/containernetworking/plugins/pull/269
CVE-2019-9946
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9946
CVE-2019-9946
https://nvd.nist.gov/vuln/detail/CVE-2019-9946
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 23 setembro 2019