Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-00672

Опубликовано: 16 янв. 2025
Источник: fstec
CVSS3: 5.9
CVSS2: 6.6
EPSS Низкий

Описание

Уязвимость утилиты kubelet программного средства управления кластерами виртуальных машин Kubernetes для операционных систем Windows связана с непринятием мер по чистке данных на управляющем уровне. Эксплуатация уязвимости может позволить нарушителю,действующему удаленно, выполнить произвольные команды

Вендор

Red Hat Inc.
АО «ИВК»
Google Inc.

Наименование ПО

Red Hat OpenShift Container Platform
АЛЬТ СП 10
Kubernetes

Версия ПО

4 (Red Hat OpenShift Container Platform)
- (АЛЬТ СП 10)
от 1.32.0 до 1.32.1 (Kubernetes)
от 1.31.0 до 1.31.5 (Kubernetes)
от 1.30.0 до 1.30.9 (Kubernetes)
до 1.29.13 (Kubernetes)

Тип ПО

Прикладное ПО информационных систем
Операционная система

Операционные системы и аппаратные платформы

Microsoft Corp. Windows -
АО «ИВК» АЛЬТ СП 10 -

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,6)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,9)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Kubernetes:
https://discuss.kubernetes.io/t/security-advisory-cve-2024-9042-command-injection-affecting-windows-nodes-via-nodes-logs-query-api/31276
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2024-9042
Компенсирующие меры:
- минимизация пользовательских привилегий;
- отключение/удаление неиспользуемых учётных записей пользователей;
- контроль журналов аудита кластера для отслеживания попыток эксплуатации уязвимости.
Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 6%
0.00026
Низкий

5.9 Medium

CVSS3

6.6 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2024-9042

CVSS3: 5.9
ubuntu
3 месяца назад

This CVE affects only Windows worker nodes. Your worker node is vulnerable to this issue if it is running one of the affected versions listed below.

redhat логотип

CVE-2024-9042

CVSS3: 5.9
redhat
5 месяцев назад

This CVE affects only Windows worker nodes. Your worker node is vulnerable to this issue if it is running one of the affected versions listed below.

nvd логотип

CVE-2024-9042

CVSS3: 5.9
nvd
3 месяца назад

This CVE affects only Windows worker nodes. Your worker node is vulnerable to this issue if it is running one of the affected versions listed below.

debian логотип

CVE-2024-9042

CVSS3: 5.9
debian
3 месяца назад

This CVE affects only Windows worker nodes. Your worker node is vulner ...

github логотип

GHSA-vv39-3w5q-974q

CVSS3: 5.9
github
3 месяца назад

Kubernetes allows Command Injection affecting Windows nodes via nodes/*/logs/query API

EPSS

Процентиль: 6%
0.00026
Низкий

5.9 Medium

CVSS3

6.6 Medium

CVSS2