In Kubernetes v1.8.x-v1.14.x, schema info is cached by kubectl in the location specified by --cache-dir (defaulting to $HOME/.kube/http-cache), written with world-writeable permissions (rw-rw-rw-). If --cache-dir is specified and pointed at a different location accessible to other users/groups, the written files may be modified by other users/groups and disrupt the kubectl invocation.

In Kubernetes v1.8.x-v1.14.x, schema info is cached by kubectl in the location specified by --cache-dir (defaulting to $HOME/.kube/http-cache), written with world-writeable permissions (rw-rw-rw-). If --cache-dir is specified and pointed at a different location accessible to other users/groups, the written files may be modified by other users/groups and disrupt the kubectl invocation.

In Kubernetes v1.8.x-v1.14.x, schema info is cached by kubectl in the ...

In all Kubernetes versions prior to v1.10.11, v1.11.5, and v1.12.3, incorrect handling of error responses to proxied upgrade requests in the kube-apiserver allowed specially crafted requests to establish a connection through the Kubernetes API server to backend servers, then send arbitrary requests over the same connection directly to the backend, authenticated with the Kubernetes API server's TLS credentials used to establish the backend connection.

In all Kubernetes versions prior to v1.10.11, v1.11.5, and v1.12.3, incorrect handling of error responses to proxied upgrade requests in the kube-apiserver allowed specially crafted requests to establish a connection through the Kubernetes API server to backend servers, then send arbitrary requests over the same connection directly to the backend, authenticated with the Kubernetes API server's TLS credentials used to establish the backend connection.

In all Kubernetes versions prior to v1.10.11, v1.11.5, and v1.12.3, incorrect handling of error responses to proxied upgrade requests in the kube-apiserver allowed specially crafted requests to establish a connection through the Kubernetes API server to backend servers, then send arbitrary requests over the same connection directly to the backend, authenticated with the Kubernetes API server's TLS credentials used to establish the backend connection.

In all Kubernetes versions prior to v1.10.11, v1.11.5, and v1.12.3, in ...

Уязвимость утилиты kubelet программного средства управления кластерами виртуальных машин Kubernetes для операционных систем Windows, позволяющая нарушителю выполнить произвольные команды

Уязвимость программного средства для сбора информации о состоянии и производительности приложений, работающих на платформе OpenShift, OpenShift Telemeter, связанная с обходом аутентификации посредством спуфинга, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Уязвимость модуля pod программного средства управления кластерами виртуальных машин Kubernetes, позволяющая нарушителю повысить свои привилегии

Уязвимость модуля pod программного средства управления кластерами виртуальных машин Kubernetes, позволяющая нарушителю повысить свои привилегии

Уязвимость утилиты kubelet программного средства управления кластерами виртуальных машин Kubernetes, позволяющая нарушителю настроить определенные модули на работу в "неорганиченном режиме"

Уязвимость программного средства управления кластерами виртуальных машин Kubernetes, связанная с недостатками контроля доступа, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Уязвимость Kube API-сервера программного средства управления кластерами виртуальных машин Kubernetes, позволяющая нарушителю выполнить произвольные запросы

Уязвимость корпоративной платформы Red Hat OpenShift Container Platform, связанная с ошибками проведения процедуры авторизации, позволяющая нарушителю получить доступ к защищаемой информации

Уязвимость команды kubectl cp программного средства управления кластерами виртуальных машин Kubernetes, позволяющая нарушителю загрузить вредоносный файл

Unverified Ownership in Kubernetes

Kubernetes API server in all versions allow an attacker who is able to create a ClusterIP service and set the spec.externalIPs field, to intercept traffic to that IP address. Additionally, an attacker who is able to patch the status (which is considered a privileged operation and should not typically be granted to users) of a LoadBalancer service can set the status.loadBalancer.ingress.ip to similar effect.

Kubernetes API server in all versions allow an attacker who is able to create a ClusterIP service and set the spec.externalIPs field, to intercept traffic to that IP address. Additionally, an attacker who is able to patch the status (which is considered a privileged operation and should not typically be granted to users) of a LoadBalancer service can set the status.loadBalancer.ingress.ip to similar effect.

Kubernetes API server in all versions allow an attacker who is able to create a ClusterIP service and set the spec.externalIPs field, to intercept traffic to that IP address. Additionally, an attacker who is able to patch the status (which is considered a privileged operation and should not typically be granted to users) of a LoadBalancer service can set the status.loadBalancer.ingress.ip to similar effect.