Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-03213

Опубликовано: 15 июн. 2023
Источник: fstec
CVSS3: 6.5
CVSS2: 7.7
EPSS Низкий

Описание

Уязвимость программного средства управления кластерами виртуальных машин Kubernetes связана с возможностью обхода политик модуля допуска ImagePolicyWebhook. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, обойти существующие ограничения безопасности при запуске контейнеров

Вендор

Сообщество свободного программного обеспечения
АО «НТЦ ИТ РОСА»
АО «ИВК»

Наименование ПО

kube-apiserver
РОСА ХРОМ
АЛЬТ СП 10

Версия ПО

от 1.27.0 до 1.27.3 (kube-apiserver)
от 1.26.0 до 1.26.6 (kube-apiserver)
от 1.25.0 до 1.25.11 (kube-apiserver)
до 1.24.15 (kube-apiserver)
12.4 (РОСА ХРОМ)
- (АЛЬТ СП 10)

Тип ПО

ПО виртуализации/ПО виртуального программно-аппаратного средства
Операционная система

Операционные системы и аппаратные платформы

АО «НТЦ ИТ РОСА» РОСА ХРОМ 12.4
АО «ИВК» АЛЬТ СП 10 -

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,7)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- ограничить использование эфемерных контейнеров;
- ограничить использование плагина ImagePolicyWebhook;
- использование веб-перехватчиков (таких как, Gatekeeper and Kyverno).
Использование рекомендаций производителя:
https://groups.google.com/g/kubernetes-security-announce/c/vPWYJ_L84m8
Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства
Для операционной системы РОСА ХРОМ: https://abf.rosa.ru/advisories/ROSA-SA-2024-2405

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 40%
0.00179
Низкий

6.5 Medium

CVSS3

7.7 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2023-2727

CVSS3: 6.5
ubuntu
почти 2 года назад

Users may be able to launch containers using images that are restricted by ImagePolicyWebhook when using ephemeral containers. Kubernetes clusters are only affected if the ImagePolicyWebhook admission plugin is used together with ephemeral containers.

redhat логотип

CVE-2023-2727

CVSS3: 6.5
redhat
около 2 лет назад

Users may be able to launch containers using images that are restricted by ImagePolicyWebhook when using ephemeral containers. Kubernetes clusters are only affected if the ImagePolicyWebhook admission plugin is used together with ephemeral containers.

nvd логотип

CVE-2023-2727

CVSS3: 6.5
nvd
почти 2 года назад

Users may be able to launch containers using images that are restricted by ImagePolicyWebhook when using ephemeral containers. Kubernetes clusters are only affected if the ImagePolicyWebhook admission plugin is used together with ephemeral containers.

debian логотип

CVE-2023-2727

CVSS3: 6.5
debian
почти 2 года назад

Users may be able to launch containers using images that are restricte ...

github логотип

GHSA-qc2g-gmh6-95p4

CVSS3: 6.5
github
почти 2 года назад

kube-apiserver vulnerable to policy bypass

EPSS

Процентиль: 40%
0.00179
Низкий

6.5 Medium

CVSS3

7.7 High

CVSS2