Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-10035

Опубликовано: 20 нояб. 2024
Источник: fstec
CVSS3: 8.1
CVSS2: 8.5
EPSS Средний

Описание

Уязвимость программного средства управления кластерами виртуальных машин Kubernetes связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код за границами контейнера в хостовой операционной системе

Вендор

ООО «Ред Софт»
Google Inc.

Наименование ПО

РЕД ОС
Kubernetes

Версия ПО

7.3 (РЕД ОС)
от 1.29.0 до 1.29.7 (Kubernetes)
от 1.30.0 до 1.30.3 (Kubernetes)
до 1.31.0 (Kubernetes)
до 1.28.12 (Kubernetes)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,1)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- ограничение использования тома gitRepo
для клонирования репозитория;
- использование средств межсетевого экранирования для ограничения удалённого доступа к уязвимому программному средству;
- использование «белого» списка IP-адресов для ограничения доступа к уязвимому программному средству;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).
Использование рекомендаций:
https://discuss.kubernetes.io/t/security-advisory-cve-2024-10220-arbitrary-command-execution-through-gitrepo-volume/30571
https://github.com/kubernetes/kubernetes/pull/124531
Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-kubernetes-cve-2024-10220/?sphrase_id=592546

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 93%
0.11286
Средний

8.1 High

CVSS3

8.5 High

CVSS2

Связанные уязвимости

redos логотип

ROS-20241203-04

CVSS3: 8.1
redos
7 месяцев назад

Уязвимость kubernetes

ubuntu логотип

CVE-2024-10220

CVSS3: 8.1
ubuntu
7 месяцев назад

The Kubernetes kubelet component allows arbitrary command execution via specially crafted gitRepo volumes.This issue affects kubelet: through 1.28.11, from 1.29.0 through 1.29.6, from 1.30.0 through 1.30.2.

redhat логотип

CVE-2024-10220

CVSS3: 8.1
redhat
7 месяцев назад

The Kubernetes kubelet component allows arbitrary command execution via specially crafted gitRepo volumes.This issue affects kubelet: through 1.28.11, from 1.29.0 through 1.29.6, from 1.30.0 through 1.30.2.

nvd логотип

CVE-2024-10220

CVSS3: 8.1
nvd
7 месяцев назад

The Kubernetes kubelet component allows arbitrary command execution via specially crafted gitRepo volumes.This issue affects kubelet: through 1.28.11, from 1.29.0 through 1.29.6, from 1.30.0 through 1.30.2.

msrc логотип

CVE-2024-10220

CVSS3: 8.1
msrc
5 месяцев назад

Описание отсутствует

EPSS

Процентиль: 93%
0.11286
Средний

8.1 High

CVSS3

8.5 High

CVSS2