ASA-2019-00493 – Kubernetes: Correções incompletas para as falhas CVE-2019-1002101 e CVE-2019-11246, potencial directory traversal em kubectl cp


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00493

Identificador(es)

ASA-2019-00493, CVE-2019-11249

Título

Correções incompletas para as falhas CVE-2019-1002101 e CVE-2019-11246, potencial directory traversal em kubectl cp

Fabricante(s)

Kubernetes Community

Produto(s)

Kubernetes

Versão(ões) afetada(s)

Kubernetes versões anteriores a v1.13.9
Kubernetes versões anteriores a v1.14.5
Kubernetes versões anteriores a v1.15.2

Versão(ões) corrigida(s)

Kubernetes versão v1.13.9
Kubernetes versão v1.14.5
Kubernetes versão v1.15.2

Prova de conceito

Desconhecido

Descrição

Essa vulnerabilidade permite que um contêiner crie ou substitua arquivos no computador cliente quando este utilizar operações kubectl cp. A vulnerabilidade é uma falha client-side e requer interação do usuário para ser explorada.

Detalhes técnicos

Desconhecido

Créditos

Yang Yang (Amazon)

Referência(s)

Kubernetes v1.13.9, v1.14.5, v1.15.2 released to address CVE-2019-11247, CVE-2019-11249
https://www.openwall.com/lists/oss-security/2019/08/05/5

v1.13.9, v1.14.5, v1.15.2 released to address CVE-2019-11247, CVE-2019-11249
https://groups.google.com/forum/#!topic/kubernetes-security-announce/vUtEcSEY6SM

CVE-2019-11249: Incomplete fixes for CVE-2019-1002101 and CVE-2019-11246, kubectl cp potential directory traversal #80984
https://github.com/kubernetes/kubernetes/issues/80984

CHANGELOG-1.13.md
https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG-1.13.md

CHANGELOG-1.14.md
https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG-1.14.md

CHANGELOG-1.15.md
https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG-1.15.md

ASA-2019-00391 – Kubernetes: Correções incompletas para CVE-2019-1002101, potencial directory traversal em kubectl cp
https://allelesecurity.com.br/asa-2019-00391/

CVE-2019-11249
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11249

CVE-2019-11249
https://nvd.nist.gov/vuln/detail/CVE-2019-11249

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 13 agosto 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.