BDU:2024-10035
Google Inc, ООО «Ред Софт» Kubernetes, РЕД ОС
2024-11-20
Уязвимость программного средства управления кластерами виртуальных машин Kubernetes связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код за границами контейнера в хостовой операционной системе
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры: - ограничение использования тома gitRepo для клонирования репозитория; - использование средств межсетевого экранирования для ограничения удалённого доступа к уязвимому программному средству; - использование «белого» списка IP-адресов для ограничения доступа к уязвимому программному средству; - использование виртуальных частных сетей для организации удаленного доступа (VPN).
Использование рекомендаций: https://discuss.kubernetes.io/t/security-advisory-cve-2024-10220-arbitrary-command-execution-through-gitrepo-volume/30571 https://github.com/kubernetes/kubernetes/pull/124531
Для РЕД ОС: https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-kubernetes-cve-2024-10220/?sphrase_id=592546