2020-1274: Kubernetes, Grafana: Mehrere Schwachstellen ermöglichen u. a. einen Server-Side-Request-Forgery-Angriff

Historie:

Version 1 (2020-06-15 17:32)

Neues Advisory

Betroffene Software

Netzwerk

Betroffene Plattformen

Linux
Oracle

Beschreibung:

In Kubernetes und Grafana existieren mehrere Schwachstellen. Eine Schwachstelle in Grafana ermöglicht es einem entfernten Angreifer einen Server-Side-Request-Forgery (SSRF)-Angriff auszuführen und dadurch Informationen auszuspähen. Eine weitere Schwachstelle in Kubernetes ermöglicht es einem entfernten Angreifer mit üblichen Benutzerrechten ebenfalls einen Server-Side-Request-Forgery (SSRF)-Angriff durchzuführen und dadurch Informationen auszuspähen. Ein erfolgreicher Angriff kann hierbei Einfluss auf andere Komponenten betroffener Systeme haben. Eine Schwachstelle in allen Versionen von containernetworking/plugins vor Version 0.8.6 betrifft Kubernets-Cluster. Hierbei kann ein entfernter Angreifer mit üblichen Benutzerrechten beliebigen Programmcode ausführen. Ein erfolgreicher Angriff kann Einfluss auf andere Komponenten betroffener Systeme haben.

Für Oracle Linux 7 stehen verschiedene Sicherheitsupdates für 'grafana', 'kubeadm-ha-setup', 'kubernetes', 'kubernetes-cni', 'kubernetes-cni-plugins' und 'olcne' zur Behebung der jeweiligen Schwachstellen zur Verfügung.

Schwachstellen:

CVE-2020-10749

Schwachstelle in containernetworking/plugins ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-13379

Schwachstelle in Grafana ermöglicht Server-Side-Request-Forgery-Angriff

CVE-2020-8555

Schwachstelle in Kubernetes ermöglicht Server-Side-Request-Forgery-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.