Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-06031

Опубликовано: 22 июл. 2020
Источник: fstec
CVSS3: 6.8
CVSS2: 8.3
EPSS Средний

Описание

Уязвимость компонента kube-apiserver программного средства управления кластерами виртуальных машин Kubernetes связана с перенаправлением на произвольные ресурсы при проксированных запросах на обновление. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии

Вендор

Red Hat Inc.
Сообщество свободного программного обеспечения
ООО «Ред Софт»
АО "НППКТ"
The Kubernetes Community

Наименование ПО

OpenShift Container Platform
Debian GNU/Linux
РЕД ОС
ОСОН ОСнова Оnyx
kubernetes-csi-proxy

Версия ПО

3.11 (OpenShift Container Platform)
10 (Debian GNU/Linux)
4.4 (OpenShift Container Platform)
4.5 (OpenShift Container Platform)
4.6 (OpenShift Container Platform)
11 (Debian GNU/Linux)
7.3 (РЕД ОС)
до 2.6 (ОСОН ОСнова Оnyx)
от 1.16.0 до 1.16.12 включительно (kubernetes-csi-proxy)
от 1.17.0 до 1.17.8 включительно (kubernetes-csi-proxy)
от 1.18.0 до 1.18.5 включительно (kubernetes-csi-proxy)
от 1.6.0 до 1.15.0 включительно (kubernetes-csi-proxy)

Тип ПО

Прикладное ПО информационных систем
Операционная система
ПО виртуализации/ПО виртуального программно-аппаратного средства

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3
АО "НППКТ" ОСОН ОСнова Оnyx до 2.6

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,3)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,8)

Возможные меры по устранению уязвимости

Для Kubernetes:
https://github.com/kubernetes/kubernetes/issues/92914
https://groups.google.com/d/msg/kubernetes-security-announce/JAIGG5yNROs/19nHQ5wkBwAJ
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2020-8559
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2020-8559
Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения kubernetes до версии 1.20.5+really1.20.2-1

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 98%
0.61459
Средний

6.8 Medium

CVSS3

8.3 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2020-8559

CVSS3: 6.4
ubuntu
почти 5 лет назад

The Kubernetes kube-apiserver in versions v1.6-v1.15, and versions prior to v1.16.13, v1.17.9 and v1.18.6 are vulnerable to an unvalidated redirect on proxied upgrade requests that could allow an attacker to escalate privileges from a node compromise to a full cluster compromise.

redhat логотип

CVE-2020-8559

CVSS3: 6.4
redhat
почти 5 лет назад

The Kubernetes kube-apiserver in versions v1.6-v1.15, and versions prior to v1.16.13, v1.17.9 and v1.18.6 are vulnerable to an unvalidated redirect on proxied upgrade requests that could allow an attacker to escalate privileges from a node compromise to a full cluster compromise.

nvd логотип

CVE-2020-8559

CVSS3: 6.4
nvd
почти 5 лет назад

The Kubernetes kube-apiserver in versions v1.6-v1.15, and versions prior to v1.16.13, v1.17.9 and v1.18.6 are vulnerable to an unvalidated redirect on proxied upgrade requests that could allow an attacker to escalate privileges from a node compromise to a full cluster compromise.

debian логотип

CVE-2020-8559

CVSS3: 6.4
debian
почти 5 лет назад

The Kubernetes kube-apiserver in versions v1.6-v1.15, and versions pri ...

redos логотип

ROS-20240805-05

CVSS3: 6.8
redos
11 месяцев назад

Уязвимость consul

EPSS

Процентиль: 98%
0.61459
Средний

6.8 Medium

CVSS3

8.3 High

CVSS2