BDU:2021-06196: Уязвимость программы для оркестровки контейнеризированных приложений Kubernetes, связанная с недостатками разграничения доступа, позволяющая нарушителю обойти введенные ограничения безопасности

Описание уязвимости

Уязвимость утилиты Kubernetes связана с недостатками разграничения доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти введенные ограничения безопасности с помощью создания контейнер с подключаемыми томами подпути для доступа к файлам и каталогам за пределами тома, в том числе в файловой системе хоста

Вендор

Red Hat Inc., ООО «Ред Софт», Сообщество свободного программного обеспечения, Google Inc., АО «ИВК»

Наименование ПО

Версия ПО

  • 3.11 (OpenShift Container Platform)
  • 7.2 Муром (РЕД ОС)
  • 4.6 (OpenShift Container Platform)
  • 4.7 (OpenShift Container Platform)
  • 11 (Debian GNU/Linux)
  • 4.8 (OpenShift Container Platform)
  • от 1.22.0 до 1.22.2 (Kubernetes)
  • от 1.21.0 до 1.21.5 (Kubernetes)
  • от 1.20.0 до 1.20.11 (Kubernetes)
  • до 1.19.15 (Kubernetes)
  • - (Альт 8 СП)

Тип ПО

Прикладное ПО информационных систем, Операционная система

Операционные системы и аппаратные платформы

Тип ошибки

Разрешения, привилегии и средства управления доступом

Идентификатор типа ошибки

Класс уязвимости

Уязвимость кода

Дата выявления

28.09.2021

Базовый вектор уязвимости

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для РедОС:
http://repo.red-soft.ru/redos/7.2c/x86_64/updates/

Для Kubernetes:
https://groups.google.com/g/kubernetes-security-announce/c/nyfdhK24H7s

Для ОС Альт 8 СП:
Обновление программного обеспечения до актуальной версии

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2021-25741

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2021-25741

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Способ эксплуатации

  • Нарушение авторизации

Способ устранения

Обновление программного обеспечения

Информация об устранении

Уязвимость устранена

Идентификаторы других систем описаний уязвимостей

Прочая информация

Данные уточняются
Последние изменения