2020-0853: Kubernetes: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2020-04-27 17:13)

Neues Advisory

Betroffene Software

Netzwerk

Betroffene Plattformen

Linux

Beschreibung:

Mehrere Schwachstellen ermöglichen einem entfernten Angreifer, beliebigen Programmcode auszuführen auch mit den Rechten des betroffenen Dienstes, beliebige Dateien im Dateisystem zu schreiben und Informationen auszuspähen. Ein entfernter Angreifer mit üblichen Benutzerrechten kann außerdem Sicherheitsvorkehrungen umgehen und seine Privilegien eskalieren. Ein lokaler Angreifer mit üblichen Benutzerrechten kann beliebigen Programmcode mit Kernel-Privilegien ausführen. Ein erfolgreicher Angriff erfordert in einem Fall die Interaktion eines Benutzers.
 
Für OpenSUSE Leap 15.1 steht ein Sicherheitsupdate zur Behebung der 7 Schwachstellen und 22 weiteren nicht sicherheitsrelevanten Fehler zur Verfügung. Damit wird 'kubernetes' auf Version 1.14.1 und 'cri-o' auf Version 1.17.1 aktualisiert.

Schwachstellen:

CVE-2016-5195

Schwachstelle in Linux-Kernel ermöglicht Erlangen von Administratorrechten

CVE-2016-8859

Schwachstelle in TRE ermöglicht Ausführung beliebigen Programmcodes

CVE-2017-1002101

Schwachstelle in Kubernetes ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2018-1002105

Schwachstelle in Kubernetes ermöglicht Privilegieneskalation

CVE-2018-16873

Schwachstelle in Google Go (golang) ermöglicht Ausführung beliebigen Programmcodes

CVE-2018-16874

Schwachstelle in Google Go (golang) ermöglicht Manipulation von Dateien und Ausführung beliebigen Programmcodes

CVE-2019-10214

Schwachstelle in containers/image ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.