6.8средняя
BDU:2024-02687 (CVE-2019-25210)
Уязвимость пакетного менеджера для Kubernetes Helm, связанная с отсутствием защиты служебных данных, позволяющая нарушителю оказать влияние на конфиденциальность информации
Опубликовано: 2024-04-06
Описание
Уязвимость пакетного менеджера для Kubernetes Helm связана с отсутствием защиты служебных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать влияние на конфиденциальность информации
Затрагиваемое ПО и версии
SUSE Linux Enterprise High Performance Computing (15 SP3)Suse Linux Enterprise Server (15 SP3)SUSE Linux Enterprise Server for SAP Applications (15 SP3)SUSE Manager Proxy (4.2)SUSE Manager Server (4.2)Suse Linux Enterprise Server (15 SP4)SUSE Linux Enterprise Server for SAP Applications (15 SP4)SUSE Manager Retail Branch Server (4.2)SUSE Manager Retail Branch Server (4.3)SUSE Manager Proxy (4.3)SUSE Manager Server (4.3)SUSE Linux Enterprise High Performance Computing (15 SP4)SUSE Enterprise Storage (7.1)Suse Linux Enterprise Server (15 SP3-LTSS)SUSE Linux Enterprise High Performance Computing (15 SP3-ESPOS)SUSE Linux Enterprise High Performance Computing (15 SP3-LTSS)Suse Linux Enterprise Server (15 SP3-BCL)SUSE Linux Enterprise Module for Package Hub (15 SP4)SUSE Linux Enterprise Module for Package Hub (15 SP3)SUSE Linux Enterprise Server for SAP Applications (15 SP5)Suse Linux Enterprise Server (15 SP5)SUSE Linux Enterprise Module for Containers (15 SP4)SUSE Linux Enterprise High Performance Computing (15 SP5)SUSE Linux Enterprise Module for Package Hub (15 SP5)SUSE Linux Enterprise High Performance Computing (15 SP4-ESPOS)SUSE Linux Enterprise High Performance Computing (15 SP4-LTSS)Suse Linux Enterprise Server (15 SP4-LTSS)Helm (до 3.13.3)SUSE Linux Enterprise Module for Containers (15 SP5)SUSE Linux Enterprise Module for Containers (15 SP3)
Способ устранения
Компенсирующие меры:
- не использовать флаг --dry-run с helm installи helm upgrade.
Использование рекомендаций:
Для Helm:
https://github.com/helm/helm/issues/7275
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2019-25210.html
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2019-25210
Оценка CVSS
| Балл | 6.8 — средняя опасность |
Источники и патчи