31 marzo, 2020

9VSA20-00165-01 CSIRT comparte actualizaciones para Kubernetes

RESUMEN

El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT, comparte la información obtenida desde el repositorio oficial de Kubernetes referente a dos vulnerabilidades que afectan al contenedor. El presente informe incluye las respectivas medidas de mitigación.

VULNERABILIDADES

CVE-2020-8551

CVE-2020-8552

CVE-2020-8551

Impacto

Debido a la asignación inadecuada de memoria en la API (incluida la API de solo lectura HTTP sin autenticación en el puerto 10255 y la API HTTPS con autenticación en el puerto 10250), un atacante remoto en la red local podría causar una denegación de servicios contra el sistema vulnerable.

Productos Afectados

Kubernetes versiones 1.17.x, 1.16.x y 1.15.x.

CVE-2020-8552

Impacto

Debido a una inadecuada asignación de memoria en el componente afectado, un atacante podría enviar una solicitud API especialmente diseñada y causar una denegación de servicios en el sistema de destino.

Productos Afectados

Servidor API Kubernetes versiones 1.17.x, 1.16.x y 1.15.x y anteriores.

Mitigación

Aplicar las actualizaciones publicadas por el fabricante.

Para las versiones 1.17.x, actualizar a la versión 1.17.3
Para las versiones 1.16.x, actualizar a la versión 1.16.7
Para las versiones 1.15.x y anteriores, actualizar a la versión 1.15.10

Enlace

https://github.com/kubernetes/kubernetes/issues/89377

https://github.com/kubernetes/kubernetes/issues/89378

https://groups.google.com/forum/#!topic/kubernetes-security-announce/2UOlsba2g0s

INFORME

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA20-00165-01