Contáctanos al
1510
RESUMEN
El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT, comparte la información obtenida desde el repositorio oficial de Kubernetes referente a dos vulnerabilidades que afectan al contenedor. El presente informe incluye las respectivas medidas de mitigación.
VULNERABILIDADES
CVE-2020-8551
CVE-2020-8552
CVE-2020-8551
Impacto
Debido a la asignación inadecuada de memoria en la API (incluida la API de solo lectura HTTP sin autenticación en el puerto 10255 y la API HTTPS con autenticación en el puerto 10250), un atacante remoto en la red local podría causar una denegación de servicios contra el sistema vulnerable.
Productos Afectados
Kubernetes versiones 1.17.x, 1.16.x y 1.15.x.
CVE-2020-8552
Impacto
Debido a una inadecuada asignación de memoria en el componente afectado, un atacante podría enviar una solicitud API especialmente diseñada y causar una denegación de servicios en el sistema de destino.
Productos Afectados
Servidor API Kubernetes versiones 1.17.x, 1.16.x y 1.15.x y anteriores.
Mitigación
Aplicar las actualizaciones publicadas por el fabricante.
Para las versiones 1.17.x, actualizar a la versión 1.17.3
Para las versiones 1.16.x, actualizar a la versión 1.16.7
Para las versiones 1.15.x y anteriores, actualizar a la versión 1.15.10
Enlace
https://github.com/kubernetes/kubernetes/issues/89377
https://github.com/kubernetes/kubernetes/issues/89378
https://groups.google.com/forum/#!topic/kubernetes-security-announce/2UOlsba2g0s
INFORME
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA20-00165-01