For the English version of this alert, click here.
Allele Security Alert
ASA-2019-00493
Identificador(es)
ASA-2019-00493, CVE-2019-11249
Título
Correções incompletas para as falhas CVE-2019-1002101 e CVE-2019-11246, potencial directory traversal em kubectl cp
Fabricante(s)
Kubernetes Community
Produto(s)
Kubernetes
Versão(ões) afetada(s)
Kubernetes versões anteriores a v1.13.9
Kubernetes versões anteriores a v1.14.5
Kubernetes versões anteriores a v1.15.2
Versão(ões) corrigida(s)
Kubernetes versão v1.13.9
Kubernetes versão v1.14.5
Kubernetes versão v1.15.2
Prova de conceito
Desconhecido
Descrição
Essa vulnerabilidade permite que um contêiner crie ou substitua arquivos no computador cliente quando este utilizar operações kubectl cp. A vulnerabilidade é uma falha client-side e requer interação do usuário para ser explorada.
Detalhes técnicos
Desconhecido
Créditos
Yang Yang (Amazon)
Referência(s)
Kubernetes v1.13.9, v1.14.5, v1.15.2 released to address CVE-2019-11247, CVE-2019-11249
https://www.openwall.com/lists/oss-security/2019/08/05/5
v1.13.9, v1.14.5, v1.15.2 released to address CVE-2019-11247, CVE-2019-11249
https://groups.google.com/forum/#!topic/kubernetes-security-announce/vUtEcSEY6SM
CVE-2019-11249: Incomplete fixes for CVE-2019-1002101 and CVE-2019-11246, kubectl cp potential directory traversal #80984
https://github.com/kubernetes/kubernetes/issues/80984
CHANGELOG-1.13.md
https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG-1.13.md
CHANGELOG-1.14.md
https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG-1.14.md
CHANGELOG-1.15.md
https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG-1.15.md
ASA-2019-00391 – Kubernetes: Correções incompletas para CVE-2019-1002101, potencial directory traversal em kubectl cp
https://allelesecurity.com.br/asa-2019-00391/
CVE-2019-11249
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11249
CVE-2019-11249
https://nvd.nist.gov/vuln/detail/CVE-2019-11249
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 13 agosto 2019