Kubernetes kube-apiserver 输入验证错误漏洞

admin

0
文章

0
评论

2023-12-01 20:26:19 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

低危 Kubernetes kube-apiserver 输入验证错误漏洞

CVE编号

CVE-2020-8559

利用情况

EXP 已公开

补丁情况

官方补丁

披露时间

2020-07-23

漏洞描述

Kubernetes是美国Linux基金会发布的一套开源的Docker容器集群管理系统。该系统为容器化的应用提供资源调度、部署运行、服务发现和扩容缩容等功能。kube-apiserver是其中的一个为API对象验证并配置数据的组件。 Kubernetes kube-apiserver中存在输入验证错误漏洞。攻击者可利用该漏洞提升权限。以下产品及版本受到影响：Kubernetes kube-apiserver v1.6版本至v1.15版本，v1.16.13之前版本，v1.17.9之前版本，v1.18.6之前版本。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：https://github.com/kubernetes/kubernetes/issues/92914

参考链接
https://github.com/kubernetes/kubernetes/issues/92914
https://groups.google.com/d/msg/kubernetes-security-announce/JAIGG5yNROs/19nHQ5wkBwAJ
https://security.netapp.com/advisory/ntap-20200810-0004/

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	kubernetes	kubernetes	*	From (including) 1.16.0	Up to (excluding) 1.16.13
	运行在以下环境
	应用	kubernetes	kubernetes	*	From (including) 1.17.0	Up to (excluding) 1.17.9
	运行在以下环境
	应用	kubernetes	kubernetes	*	From (including) 1.18.0	Up to (excluding) 1.18.6
	运行在以下环境
	应用	kubernetes	kubernetes	*	From (including) 1.6.0	Up to (including) 1.15.0
	运行在以下环境
	系统	alpine_3.13	k3s	*		Up to (excluding) 1.18.6.1-r0
	运行在以下环境
	系统	alpine_3.14	k3s	*		Up to (excluding) 1.18.6.1-r0
	运行在以下环境
	系统	alpine_3.15	k3s	*		Up to (excluding) 1.18.6.1-r0
	运行在以下环境
	系统	alpine_3.16	k3s	*		Up to (excluding) 1.18.6.1-r0
	运行在以下环境
	系统	alpine_3.17	k3s	*		Up to (excluding) 1.18.6.1-r0
	运行在以下环境
	系统	alpine_3.18	k3s	*		Up to (excluding) 1.18.6.1-r0
	运行在以下环境
	系统	alpine_edge	k3s	*		Up to (excluding) 1.18.6.1-r0
	运行在以下环境
	系统	debian_11	kubernetes	*		Up to (excluding) 1.18.5-1
	运行在以下环境
	系统	debian_12	kubernetes	*		Up to (excluding) 1.18.5-1
	运行在以下环境
	系统	debian_sid	kubernetes	*		Up to (excluding) 1.18.5-1
	运行在以下环境
	系统	oracle_7	oraclelinux-release	*		Up to (excluding) 1.7.3-1.0.5.el7
	运行在以下环境
	系统	unionos_e	kubernetes	*		Up to (excluding) kubernetes-1.20.2-5.uel20