Уязвимость программного средства управления кластерами виртуальных машин Kubernetes связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код за границами контейнера в хостовой операционной системе
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- ограничение использования тома gitRepo
для клонирования репозитория;
- использование средств межсетевого экранирования для ограничения удалённого доступа к уязвимому программному средству;
- использование «белого» списка IP-адресов для ограничения доступа к уязвимому программному средству;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).
Использование рекомендаций:
https://discuss.kubernetes.io/t/security-advisory-cve-2024-10220-arbitrary-command-execution-through-gitrepo-volume/30571
https://github.com/kubernetes/kubernetes/pull/124531
Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-kubernetes-cve-2024-10220/?sphrase_id=592546
| Балл | 8.5 — высокая опасность |