Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-10035

Опубликовано: 20 нояб. 2024
Источник: fstec
CVSS3: 8.1
CVSS2: 8.5
EPSS Средний

Описание

Уязвимость программного средства управления кластерами виртуальных машин Kubernetes связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код за границами контейнера в хостовой операционной системе

Вендор

ООО «Ред Софт»
Google Inc

Наименование ПО

РЕД ОС
Kubernetes

Версия ПО

7.3 (РЕД ОС)
от 1.29.0 до 1.29.7 (Kubernetes)
от 1.30.0 до 1.30.3 (Kubernetes)
до 1.31.0 (Kubernetes)
до 1.28.12 (Kubernetes)

Тип ПО

Операционная система
ПО для разработки ИИ

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,1)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- ограничение использования тома gitRepo
для клонирования репозитория;
- использование средств межсетевого экранирования для ограничения удалённого доступа к уязвимому программному средству;
- использование «белого» списка IP-адресов для ограничения доступа к уязвимому программному средству;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).
Использование рекомендаций:
https://discuss.kubernetes.io/t/security-advisory-cve-2024-10220-arbitrary-command-execution-through-gitrepo-volume/30571
https://github.com/kubernetes/kubernetes/pull/124531
Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-kubernetes-cve-2024-10220/?sphrase_id=592546

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 96%
0.22805
Средний

8.1 High

CVSS3

8.5 High

CVSS2

Связанные уязвимости

redos логотип

ROS-20241203-04

CVSS3: 8.1
redos
11 месяцев назад

Уязвимость kubernetes

ubuntu логотип

CVE-2024-10220

CVSS3: 8.1
ubuntu
12 месяцев назад

The Kubernetes kubelet component allows arbitrary command execution via specially crafted gitRepo volumes.This issue affects kubelet: through 1.28.11, from 1.29.0 through 1.29.6, from 1.30.0 through 1.30.2.

redhat логотип

CVE-2024-10220

CVSS3: 8.1
redhat
12 месяцев назад

The Kubernetes kubelet component allows arbitrary command execution via specially crafted gitRepo volumes.This issue affects kubelet: through 1.28.11, from 1.29.0 through 1.29.6, from 1.30.0 through 1.30.2.

nvd логотип

CVE-2024-10220

CVSS3: 8.1
nvd
12 месяцев назад

The Kubernetes kubelet component allows arbitrary command execution via specially crafted gitRepo volumes.This issue affects kubelet: through 1.28.11, from 1.29.0 through 1.29.6, from 1.30.0 through 1.30.2.

msrc логотип

CVE-2024-10220

CVSS3: 8.1
msrc
10 месяцев назад

Описание отсутствует

EPSS

Процентиль: 96%
0.22805
Средний

8.1 High

CVSS3

8.5 High

CVSS2