ГлавнаяБаза уязвимостей БДУ → BDU:2024-04694
10критическая

BDU:2024-04694 (CVE-2023-32191)

Уязвимость программного обеспечения управления кластерами Kubernets Rancher, связанная с отсутствием ограничения доступа к защищаемой информации, позволяющая нарушителю раскрыть защищаемые данные и получить административный контроль над кластером Kubernetes
Опубликовано: 2024-06-20
Описание

Уязвимость программного обеспечения управления кластерами Kubernets Rancher связана с отсутствием ограничения доступа к защищаемой информации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, раскрыть защищаемые данные и получить административный контроль над кластером Kubernetes

Затрагиваемое ПО и версии
Rancher (до 2.8.5)Rancher Kubernetes Engine (RKE) (до 1.4.19)Rancher Kubernetes Engine (RKE) (до 1.5.10)Rancher (до 2.7.14)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- минимизация пользовательских привилегий;
- ограничение доступа к кластеру из внешних сетей (Интернет);
- использование средств межсетевого экранирования для ограничения возможности удаленного доступа;
- использование виртуальных частных сетей для организации удаленного доступа (VPN)

Использование рекомендаций производителя:
https://github.com/rancher/rancher/releases

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://github.com/rancher/rancher/releaseshttps://github.com/rancher/rke/security/advisories/GHSA-6gr4-52w6-vmqxhttps://securityonline.info/cve-2023-32191-cvss-10-in-rancher-kubernetes-engine-exposes-sensitive-credentials/
Проверьте безопасность своего сайта и почты → Полная проверка домена