2018-2527: Kubernetes: Eine Schwachstelle ermöglicht die Privilegieneskalation

Historie:

Version 1 (2018-12-12 13:56)

Neues Advisory

Version 2 (2019-02-27 11:06)

Für Fedora 29 steht ein Sicherheitsupdate für 'kubernetes' im Status 'testing' bereit, mit dem die Software auf Version 1.12.5 aktualisiert und die Schwachstelle behoben wird.

Version 3 (2019-03-06 18:36)

Für Fedora 29 steht ein neues Sicherheitsupdate zur Behebung der Schwachstelle im Status 'testing' zur Verfügung. Das zuvor veröffentlichte Update FEDORA-2019-dab2936288 (kubernetes-1.12.5-1.fc29) wurde in den Status 'obsolete' versetzt, weshalb die entsprechende Referenz aus dieser Meldung entfernt wurde. Mit der Bereitstellung des neuen Pakets 'kubernetes-1.12.5-2.fc29' wird darüber informiert, dass jetzt 'cri-o' oder 'moby-engine' als Alternative zu 'docker' installiert werden können.

Betroffene Software

Netzwerk

Betroffene Plattformen

Linux
Oracle

Beschreibung:

Ein entfernter Angreifer mit ausreichenden Privilegien, um eine Verbindung über einen Kubernetes API Server mit einem Backend-Server aufzubauen, kann mit Hilfe einer präparierten Anfrage seine Privilegien eskalieren und in der Folge direkt mit dem Backend kommunizieren.

Für Oracle Linux 7 (x86_64) steht ein Sicherheitsupdate für das Paket 'kubernetes' zur Behebung der Schwachstelle bereit.

Schwachstellen:

CVE-2018-1002105

Schwachstelle in Kubernetes ermöglicht Privilegieneskalation

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.