BDU:2021-06196: Уязвимость программы для оркестровки контейнеризированных приложений Kubernetes, связанная с недостатками разграничения доступа, позволяющая нарушителю обойти введенные ограничения безопасности

Описание уязвимости Уязвимость утилиты Kubernetes связана с недостатками разграничения доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти введенные ограничения безопасности с помощью создания контейнер с подключаемыми томами подпути для доступа к файлам и каталогам за пределами тома, в том числе в файловой системе хоста
Вендор Red Hat Inc., ООО «Ред Софт», Сообщество свободного программного обеспечения, Google Inc., АО «ИВК»
Наименование ПО OpenShift Container Platform, РЕД ОС (запись в едином реестре российских программ №3751), Debian GNU/Linux, Kubernetes, Альт 8 СП
Версия ПО
  • 3.11 (OpenShift Container Platform)
  • 7.2 Муром (РЕД ОС)
  • 4.6 (OpenShift Container Platform)
  • 4.7 (OpenShift Container Platform)
  • 11.0 (Debian GNU/Linux)
  • 4.8 (OpenShift Container Platform)
  • от 1.22.0 до 1.22.2 (Kubernetes)
  • от 1.21.0 до 1.21.5 (Kubernetes)
  • от 1.20.0 до 1.20.11 (Kubernetes)
  • до 1.19.15 (Kubernetes)
  • - (Альт 8 СП)
Тип ПО Прикладное ПО информационных систем, Операционная система
Операционные системы и аппаратные платформы
Тип ошибки Разрешения, привилегии и средства управления доступом
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 28.09.2021
Базовый вектор уязвимости
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для РедОС:
http://repo.red-soft.ru/redos/7.2c/x86_64/updates/

Для Kubernetes:
https://groups.google.com/g/kubernetes-security-announce/c/nyfdhK24H7s

Для ОС Альт 8 СП:
Обновление программного обеспечения до актуальной версии

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2021-25741

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2021-25741
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Нарушение авторизации
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения