BDU:2023-02885

Опубликовано: 18 апр. 2023

Источник: fstec

CVSS3: 9.9

CVSS2: 9

EPSS Низкий

Описание

Уязвимость компонента Webhook программного обеспечения управления кластерами Kubernets Rancher связана с недостатками разграничения доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, повысить свои привилегии

Вендор

Rancher Labs

Наименование ПО

Rancher

Версия ПО

от 2.6.0 до 2.7.2 включительно (Rancher)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)

Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,9)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://github.com/rancher/webhook/commit/a4a498613b43a3ee93c5ab06742a3bc8adace45d

https://github.com/rancher/rancher/security/advisories/GHSA-6m9f-pj6w-w87g

Компенсирующие меры:

Рекомендуется вручную перенастроить Webhook с помощью приведенного ниже сценария. Обратите внимание, что скрипт должен запускаться внутри local кластера или с kubeconfig, указывающим на local кластер с правами администратора:

#!/bin/bash

set -euo pipefail

function prereqs() {

if ! [ -x "$(command -v kubectl)" ]; then

echo "error: kubectl is not installed." >&2

exit 1

if [[ -z "$(kubectl config view -o jsonpath='{.clusters[].cluster.server}')" ]]; then

echo "error: No kubernetes cluster found on kubeconfig." >&2

exit 1

}

function restart_deployment(){

kubectl rollout restart deployment rancher-webhook -n cattle-system

kubectl rollout status deployment rancher-webhook -n cattle-system --timeout=30s

}

function workaround() {

echo "Cluster: $(kubectl config view -o jsonpath='{.clusters[].cluster.server}')"

if ! kubectl get validatingwebhookconfigurations.admissionregistration.k8s.io rancher.cattle.io > /dev/null 2>&1; then

echo "webhook rancher.cattle.io not found, restarting deployment:"

restart_deployment

echo "waiting for webhook configuration"

sleep 15s

local -i webhooks

webhooks="$(kubectl get validatingwebhookconfigurations.admissionregistration.k8s.io rancher.cattle.io --no-headers | awk '{ print $2 }')"

if [ "${webhooks}" == "0" ]; then

echo "Webhook misconfiguration status: Cluster is affected by CVE-2023-22651"

echo "Running workaround:"

kubectl delete validatingwebhookconfiguration rancher.cattle.io

restart_deployment

ret=$?

if [ $ret -eq 0 ]; then

echo "Webhook restored, CVE-2023-22651 is fixed"

else

echo "error trying to restart deployment. try again in a few seconds."

else

echo "Webhook misconfiguration status: not present (skipping)"

echo "Done"

}

function main() {

prereqs

workaround

}

main

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2023-22651
CVE

EPSS

Процентиль: 58%

0.00366

Низкий

9.9 Critical

CVSS3

9 Critical

CVSS2

Связанные уязвимости

CVE-2023-22651

CVSS3: 9.9

nvd

почти 3 года назад

Improper Privilege Management vulnerability in SUSE Rancher allows Privilege Escalation. A failure in the update logic of Rancher's admission Webhook may lead to the misconfiguration of the Webhook. This component enforces validation rules and security checks before resources are admitted into the Kubernetes cluster. The issue only affects users that upgrade from 2.6.x or 2.7.x to 2.7.2. Users that did a fresh install of 2.7.2 (and did not follow an upgrade path) are not affected.

GHSA-6m9f-pj6w-w87g

CVSS3: 9.9

github

почти 3 года назад

Rancher Webhook is misconfigured during upgrade process

EPSS

Процентиль: 58%

0.00366

Низкий

9.9 Critical

CVSS3

9 Critical

CVSS2