ASA-2019-00391 – Kubernetes: Correções incompletas para CVE-2019-1002101, potencial directory traversal em kubectl cp


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00391

Identificador(es)

ASA-2019-00391, CVE-2019-11246

Título

Correções incompletas para CVE-2019-1002101, potencial directory traversal em kubectl cp

Fabricante(s)

Kubernetes Community

Produto(s)

Kubernetes

Versão(ões) afetada(s)

Kubernetes versões anteriores a v1.11.9

Versão(ões) corrigida(s)

Kubernetes versões anteriores a v1.11.9, v1.12.7, v1.13.5 e v1.14.0

Prova de conceito

Desconhecido

Descrição

Outro problema de segurança foi descoberto com o comando kubectl cp do Kubernetes que poderia permitir a passagem de um diretório de forma que um contêiner mal-intencionado pudesse substituir ou criar arquivos na estação de trabalho de um usuário. A vulnerabilidade é um defeito do lado do cliente e requer que a interação do usuário seja explorada.

Detalhes técnicos

Desconhecido

Créditos

Ariel Zelivansky (Twistlock)

Referência(s)

[ANNOUNCE] Incomplete fixes for CVE-2019-1002101, kubectl cp potential directory traversal – CVE-2019-11246
https://www.openwall.com/lists/oss-security/2019/06/21/1

[ANNOUNCE] Incomplete fixes for CVE-2019-1002101, kubectl cp potential directory traversal – CVE-2019-11246
https://groups.google.com/forum/#!topic/kubernetes-security-announce/NLs2TGbfPdo

ASA-2019-00493 – Kubernetes: Correções incompletas para as falhas CVE-2019-1002101 e CVE-2019-11246, potencial directory traversal em kubectl cp
https://allelesecurity.com.br/asa-2019-00493/

CVE-2019-11246
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11246

CVE-2019-11246
https://nvd.nist.gov/vuln/detail/CVE-2019-11246

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 13 agosto 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.