PT-2020-20213 · Kubernetes · Kubernetes Csi Snapshot-Controller
Qin Ping
·
Publicado
2020-12-15
·
Atualizado
2022-02-15
·
CVE-2020-8569
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do snapshot-controller do Kubernetes CSI anteriores à 2.1.3 e à 3.0.2
Descrição
O problema ocorre quando o snapshot-controller do Kubernetes CSI processa um recurso personalizado VolumeSnapshot sob condições específicas: o VolumeSnapshot faz referência a um PersistentVolumeClaim inexistente e não faz referência a nenhum VolumeSnapshotClass. Isso faz com que o snapshot-controller trave e, após a reinicialização automática pelo Kubernetes, entre em um ciclo infinito de travamentos ao processar o mesmo recurso personalizado VolumeSnapshot novamente. A vulnerabilidade afeta apenas o recurso de snapshot de volume, impedindo que os usuários criem snapshots de seus volumes ou excluam snapshots existentes. Todas as outras funcionalidades do Kubernetes permanecem inalteradas.
Recomendações
Para versões anteriores à 2.1.3, atualize para a versão 2.1.3 ou posterior.
Para versões anteriores à 3.0.2, atualize para a versão 3.0.2 ou posterior.
Como solução alternativa temporária, considere desativar o recurso de snapshot de volume até que um patch esteja disponível.
Restrinja o acesso ao recurso personalizado VolumeSnapshot para minimizar o risco de exploração.
Exploit
Correção
NULL Pointer Dereference
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Kubernetes Csi Snapshot-Controller