Kubernetes · Kubernetes · CVE-2020-8555
**Nome do software vulnerável e versões afetadas**
Versões do Kubernetes anteriores à 1.15.12
Versões do Kubernetes anteriores à 1.16.9
Versões do Kubernetes anteriores à 1.17.5
Versões do Kubernetes de 1.0 a 1.14
Versão 1.18.0 do Kubernetes
**Descrição**
A vulnerabilidade permite que determinados usuários autorizados vazem até 500 bytes de informações arbitrárias a partir de pontos de extremidade desprotegidos na rede do host mestre, como serviços link-local ou loopback, devido a uma falsificação de solicitação do lado do servidor (SSRF) no kube-controller-manager do Kubernetes. Um invasor com permissão para criar Pods com um tipo específico de Volume ou permissão para criar StorageClass pode forçar o kube-controller-manager a fazer solicitações GET ou POST da rede do host mestre para uma URL não verificada fornecida pelo usuário. É relatado que os dados de autenticação não vazam, mas os dados vazados podem conter algo de interesse.
**Recomendações**
Para versões anteriores à 1.15.12, atualize para a versão 1.15.12 ou posterior.
Para versões anteriores à 1.16.9, atualize para a versão 1.16.9 ou posterior.
Para versões anteriores à 1.17.5, atualize para a versão 1.17.5 ou posterior.
Para as versões 1.0 a 1.14, atualize para uma versão fora desse intervalo.
Para a versão 1.18.0, atualize para uma versão posterior à 1.18.0.
Como solução alternativa temporária, considere restringir o acesso ao `kube-controller-manager` para minimizar o risco de exploração.