[TLP:CLEAR] Kubernetes Image Builder opravuje dvě zranitelnosti
Kubernetes Image Builder v0.1.38 opravuje dvě zranitelnosti, z nichž je první hodnocena jako kritická [1]. Druhá, obdobná zranitelnost [3], održela nižší CVSS skóre vzhledem k těžší zneužitelnosti.
Neautentizovanému vzdálenému útočníkovi je umožněno získat přístup roota na uzlech využívajících obrazy virtuálních počítačů sestavené pomocí poskytovatele Proxmox, protože výchozí přihlašovací údaje povolené během procesu vytváření obrazu nejsou deaktivovány [1][2].
Zranitelnost se nachází v produktu Kubernetes Image Builder ve verzích <=0.1.37
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2024-9486 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-1392: Use of Default Credentials at cwe.mitre.org
Zranitelnost byla veřejně oznámena 11. 10. 2024.
Autentizovanému útočníkovi v lokální síti je umožněno získat přístup roota na uzlech využívajících obrazy virtuálních počítačů sestavené pomocí Nutanix, OVA, QEMU nebo raw poskytovatelů, protože jsou během procesu sestavování obrazu povoleny výchozí přihlašovací údaje. Tyto přihlašovací údaje jsou deaktivovány na konci procesu vytváření obrazu [3][4].
Zranitelnost se nachází v produktu Kubernetes Image Builder ve verzích <=0.1.37
CVSS: CVSS:3.1/AV:A/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:H
Více informací:
- CVE-2024-9594 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-1392: Use of Default Credentials at cwe.mitre.org
Zranitelnost byla veřejně oznámena 11. 10. 2024.
Odkazy
- [1] https://github.com/kubernetes/kubernetes/issues/128006
- [2] https://github.com/kubernetes-sigs/image-builder/pull/1595/commits/f4fb7c1ae05bdb683b30bd47f6c8ab2c9f1dacb1
- [3] https://github.com/kubernetes/kubernetes/issues/128007
- [4] https://github.com/kubernetes-sigs/image-builder/pull/1596/commits/85ded65ae8dcbdcf922a1b43d8b0c0a838c7ad80
Publikovala Michaela Jarošová dne 16. 10. 2024.
