ASA-2019-00162 – Kubernetes: Problema de segurança permite que o tráfego seja processado pelo HostPort/portmap em vez de pelo KUBE-SERVICES

Publicado em por Allele Security Intelligence em Alertas

For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00162

Identificador(es)

ASA-2019-00162, CVE-2019-9946

Título

Problema de segurança permite que o tráfego seja processado pelo HostPort/portmap em vez de pelo KUBE-SERVICES

Fabricante(s)

Cloud Native Computing Foundation

Produto(s)

Kubernetes

Versão(ões) afetada(s)

Kubernetes versões anterior à 1.11.9
Kubernetes versões anterior à 1.12.7
Kubernetes versões anterior à 1.13.5
Kubernetes versões anterior à 1.14.0

Versão(ões) corrigida(s)

Kubernetes 1.11.9
Kubernetes 1.12.7
Kubernetes 1.13.5
Kubernetes 1.14.0

Prova de conceito

Desconhecido

Descrição

Foi descoberto um problema de segurança com interações entre as versões do plug-in do portmap CNI (Container Networking Interface) anteriores a 0.7.5 e Kubernetes. O plug-in do portmap da CNI é incorporado nos lançamentos do Kubernetes, portanto, novas versões do Kubernetes são necessárias para corrigir esse problema.

Detalhes técnicos

Antes da correção, o plug-in “portmap”, usado para configurar o HostPorts para CNI, inseria regras na frente do iptables net chains; que teria precedência sobre KUBE-SERVICES chains. Por causa disso, a regra HostPort/portmap poderia corresponder ao tráfego de entrada mesmo se houvesse regras de definição de serviço mais adequadas, como NodePorts, posteriormente na chain.

Alternar o plug-in do portmap para anexar suas regras, em vez de prefixar, permite que o tráfego seja processado primeiro pelas regras do KUBE-SERVICES. Somente se o tráfego não corresponder a um serviço, ele será considerado para o HostPorts. Isso é compatível com o comportamento do driver de rede herdado “kubenet”.

Créditos

Etienne Champetier (Anevia)

Referência(s)

[ANNOUNCE] Security release of Kubernetes affecting certain network configurations with CNI – Releases 1.11.9, 1.12.7, 1.13.5, and 1.14.0 – CVE-2019-9946
https://discuss.kubernetes.io/t/announce-security-release-of-kubernetes-affecting-certain-network-configurations-with-cni-releases-1-11-9-1-12-7-1-13-5-and-1-14-0-cve-2019-9946/5713

build/gci: bump CNI version to 0.7.5 – CVE-2019-9946 #75455
https://github.com/kubernetes/kubernetes/pull/75455

Portmap: append, rather than prepend, entry rules – CVE-2019-9946 #269
https://github.com/containernetworking/plugins/pull/269

CVE-2019-9946
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9946

CVE-2019-9946
https://nvd.nist.gov/vuln/detail/CVE-2019-9946

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 28 março 2019