BDU:2021-06196: Уязвимость программы для оркестровки контейнеризированных приложений Kubernetes, связанная с недостатками разграничения доступа, позволяющая нарушителю обойти введенные ограничения безопасности

Описание уязвимости Уязвимость утилиты Kubernetes связана с недостатками разграничения доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти введенные ограничения безопасности с помощью создания контейнер с подключаемыми томами подпути для доступа к файлам и каталогам за пределами тома, в том числе в файловой системе хоста
Вендор Red Hat Inc., ООО «Ред Софт», Сообщество свободного программного обеспечения, Google Inc., АО «ИВК»
Наименование ПО OpenShift Container Platform, РЕД ОС (запись в едином реестре российских программ №3751), Debian GNU/Linux, Kubernetes, Альт 8 СП (запись в едином реестре российских программ №4305)
Версия ПО 3.11 (OpenShift Container Platform), 7.2 Муром (РЕД ОС), 4.6 (OpenShift Container Platform), 4.7 (OpenShift Container Platform), 11 (Debian GNU/Linux), 4.8 (OpenShift Container Platform), от 1.22.0 до 1.22.2 (Kubernetes), от 1.21.0 до 1.21.5 (Kubernetes), от 1.20.0 до 1.20.11 (Kubernetes), до 1.19.15 (Kubernetes), - (Альт 8 СП)
Тип ПО Прикладное ПО информационных систем, Операционная система
Операционные системы и аппаратные платформы
Тип ошибки Разрешения, привилегии и средства управления доступом
Идентификатор типа ошибки CWE-264
Класс уязвимости Уязвимость кода
Дата выявления 28.09.2021
Базовый вектор уязвимости
  • CVSS 2.0: AV:N/AC:L/Au:S/C:C/I:C/A:C
  • CVSS 3.0: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для РедОС:
http://repo.red-soft.ru/redos/7.2c/x86_64/updates/

Для Kubernetes:
https://groups.google.com/g/kubernetes-security-announce/c/nyfdhK24H7s

Для ОС Альт 8 СП:
Обновление программного обеспечения до актуальной версии

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2021-25741

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2021-25741
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Нарушение авторизации
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются