2018-2505: TRE, Kubernetes: Zwei Schwachstellen ermöglichen u. a. eine Privilegieneskalation

Historie:

Version 1 (2018-12-10 15:28)

Neues Advisory

Betroffene Software

Netzwerk
Systemsoftware

Betroffene Plattformen

Cloud
Linux

Beschreibung:

Eine Schwachstelle in Kubernetes ermöglicht einem entfernten Angreifer mit ausreichend Privilegien, um eine Verbindung über einen Kubernetes API Server mit einem Backend-Server aufzubauen, mit Hilfe einer präparierten Anfrage seine Privilegien zu eskalieren und in der Folge direkt mit dem Backend zu kommunizieren. Eine weitere Schwachstelle ermöglicht einem entfernten, nicht authentisieren Angreifer die Ausführung beliebigen Programmcodes.

Für SUSE Container-as-a-Service Platform 3.0 stehen Sicherheitsupdates für die Pakete 'kubernetes' und 'cri-o' bereit, welche die jeweiligen Schwachstellen beheben.

Schwachstellen:

CVE-2016-8859

Schwachstelle in TRE ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-1002105

Schwachstelle in Kubernetes ermöglicht Privilegieneskalation

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.