PT-2020-9171 · Kubernetes+1 · Kubernetes Api Server+2

Mike Danese

·

Publicado

2020-03-31

·

Atualizado

2025-01-07

·

CVE-2019-11254

CVSS v3.1

6.5

Média

VetorAV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
Nome do software vulnerável e versões afetadas
Servidor de API do Kubernetes, versões 1.1 a 1.14
Servidor de API do Kubernetes, versões anteriores à 1.15.10
Servidor de API do Kubernetes, versões anteriores à 1.16.7
Servidor de API do Kubernetes, versões anteriores à 1.17.3
Descrição
A vulnerabilidade permite que um usuário autorizado faça com que o kube-apiserver consuma ciclos de CPU excessivos durante a análise de YAML, enviando cargas YAML maliciosas. Isso pode ser usado como um vetor de negação de serviço devido ao aliasing ilimitado em arquivos YAML criados propositalmente, levando potencialmente a um consumo significativo de recursos do sistema ao analisar entradas fornecidas pelo usuário.
Recomendações
Para as versões 1.1 a 1.14, atualize para uma versão posterior à 1.14.
Para versões anteriores à 1.15.10, atualize para a versão 1.15.10 ou posterior.
Para versões anteriores à 1.16.7, atualize para a versão 1.16.7 ou posterior.
Para versões anteriores à 1.17.3, atualize para a versão 1.17.3 ou posterior.
Como solução alternativa temporária, considere restringir a análise de arquivos YAML fornecidos pelo usuário para minimizar o risco de exploração.

Exploit

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-1050

Identificadores relacionados

ALT-PU-2020-1662
ALT-PU-2020-2338
AZL-41568
AZL-44445
AZL-44808
AZL-44904
CVE-2019-11254
GHSA-WXC4-F4M6-WWQV
GO-2020-0036
OPENSUSE-SU-2024:11911-1
OPENSUSE-SU-2025:0003-1
RHSA-2020:2413
RHSA-2020:2479

Produtos afetados

Alt Linux
Kubernetes
Kubernetes Api Server