ASA-2019-00492 – Kubernetes: O servidor da API permite acesso a recursos customizados em escopo errado


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00492

Identificador(es)

ASA-2019-00492, CVE-2019-11247

Título

O servidor da API permite acesso a recursos customizados em escopo errado

Fabricante(s)

Kubernetes Community

Produto(s)

Kubernetes

Versão(ões) afetada(s)

Kubernetes versões anteriores a v1.13.9
Kubernetes versões anteriores a v1.14.5
Kubernetes versões anteriores a v1.15.2

Versão(ões) corrigida(s)

Kubernetes versão v1.13.9
Kubernetes versão v1.14.5
Kubernetes versão v1.15.2

Prova de conceito

Desconhecido

Descrição

Esta vulnerabilidade permite o acesso a recurso personalizado de um cluster-scoped, se a requisição for feita como se o recurso fosse namespaced. As autorizações para o recurso acessado dessa maneira são aplicadas usando funções e vinculações de função no namespace, o que significa que um usuário com acesso apenas a um recurso em um namespace poderia criar, exibir atualizar ou excluir o recurso cluster-scoped (de acordo com os privilégios do namespace da função).

Detalhes técnicos

Desconhecido

Créditos

Prabu Shyam (Verizon Media)

Referência(s)

Kubernetes v1.13.9, v1.14.5, v1.15.2 released to address CVE-2019-11247, CVE-2019-11249
https://www.openwall.com/lists/oss-security/2019/08/05/5

v1.13.9, v1.14.5, v1.15.2 released to address CVE-2019-11247, CVE-2019-11249
https://groups.google.com/forum/#!topic/kubernetes-security-announce/vUtEcSEY6SM

CVE-2019-11247: API server allows access to custom resources via wrong scope #80983
https://github.com/kubernetes/kubernetes/issues/80983

CHANGELOG-1.13.md
https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG-1.13.md

CHANGELOG-1.14.md
https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG-1.14.md

CHANGELOG-1.15.md
https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG-1.15.md

CVE-2019-11247
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11247

CVE-2019-11247
https://nvd.nist.gov/vuln/detail/CVE-2019-11247

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 13 agosto 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.