PT-2020-20211 · Linux Foundation+3 · Kubernetes+2
Patrick Rhomberg
·
Publicado
2020-10-15
·
Atualizado
2026-04-01
·
CVE-2020-8565
CVSS v3.1
5.5
Média
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Kubernetes anteriores à v1.20.0-alpha2
Versões do Kubernetes 1.19.3 e anteriores
Versões do Kubernetes 1.18.10 e anteriores
Versões do Kubernetes 1.17.13 e anteriores
Descrição
No Kubernetes, se o nível de registro for definido como 9 ou superior, os tokens de autorização e de portador serão gravados nos arquivos de log. Isso pode ocorrer tanto nos logs do servidor de API quanto na saída de ferramentas de cliente, como o kubectl.
Recomendações
Para versões anteriores à v1.20.0-alpha2, considere reduzir o nível de registro para evitar que informações confidenciais sejam gravadas nos arquivos de log.
Para as versões 1.19.3 e anteriores, atualize para uma versão posterior à v1.19.3 para mitigar o risco.
Para as versões 1.18.10 e anteriores, atualize para uma versão posterior à v1.18.10 para mitigar o risco.
Para as versões 1.17.13 e anteriores, atualize para uma versão posterior à v1.17.13 para mitigar o risco.
Como solução alternativa temporária, considere desativar o registro de nível de depuração até que um patch esteja disponível.
Correção
Insertion into Log File
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Kubernetes
Suse