KUBERNETES UP TO 1.9.3 FILE PERMISSION LINK FOLLOWING

admin

0
文章

0
评论

2023-11-25 01:34:18 Ali_highrisk 来源：ZONE.CI 全球网 0 阅读模式

高危 KUBERNETES UP TO 1.9.3 FILE PERMISSION LINK FOLLOWING

CVE编号

CVE-2017-1002101

利用情况

EXP 已公开

补丁情况

官方补丁

披露时间

2018-03-14

漏洞描述

Google Kubernetes是美国Google公司的一套开源的Docker容器集群管理系统。该系统为容器化的应用提供资源调度、部署运行、服务发现和扩容缩容等功能。 Google Kubernetes中存在安全漏洞。攻击者可利用该漏洞访问文件/目录。以下版本受到影响：Kubernetes 1.3.x版本，1.4.x版本，1.5.x版本，1.6.x版本，1.7.14之前版本，1.8.9版本，1.9.4版本。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接： https://github.com/kubernetes/kubernetes/issues/60813

参考链接
http://lists.opensuse.org/opensuse-security-announce/2020-04/msg00041.html
https://access.redhat.com/errata/RHSA-2018:0475
https://github.com/bgeesaman/subpath-exploit/
https://github.com/kubernetes/kubernetes/issues/60813

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	kubernetes	kubernetes	*	From (including) 1.3.0	Up to (including) 1.3.10
	运行在以下环境
	应用	kubernetes	kubernetes	*	From (including) 1.4.0	Up to (including) 1.4.12
	运行在以下环境
	应用	kubernetes	kubernetes	*	From (including) 1.5.0	Up to (including) 1.5.8
	运行在以下环境
	应用	kubernetes	kubernetes	*	From (including) 1.6.0	Up to (including) 1.6.13
	运行在以下环境
	应用	kubernetes	kubernetes	*	From (including) 1.7.0	Up to (excluding) 1.7.14
	运行在以下环境
	应用	kubernetes	kubernetes	*	From (including) 1.8.0	Up to (excluding) 1.8.9
	运行在以下环境
	应用	kubernetes	kubernetes	*	From (including) 1.9.0	Up to (excluding) 1.9.4
	运行在以下环境
	系统	debian_11	kubernetes	*		Up to (excluding) 1.7.16+dfsg-1
	运行在以下环境
	系统	debian_12	kubernetes	*		Up to (excluding) 1.7.16+dfsg-1
	运行在以下环境
	系统	debian_sid	kubernetes	*		Up to (excluding) 1.7.16+dfsg-1
	运行在以下环境
	系统	fedora_27	kubernetes-debugsource	*		Up to (excluding) 1.10.1-0.fc27
	运行在以下环境
	系统	fedora_28	origin-service-catalog	*		Up to (excluding) 1.10.1-0.fc28
	运行在以下环境
	系统	opensuse_Leap_15.1	kubernetes-kubelet-common	*		Up to (excluding) 1.18.0-lp151.5.1
	运行在以下环境
	系统	oracle_7	oraclelinux-release	*		Up to (excluding) 1.9.1-2.1.5.el7