Kubernetes kubectl cp命令目录穿越漏洞(CVE-2019-11246)

回复
雷雨
论坛版主
论坛版主
帖子: 463
注册时间: 周一 2月 13, 2017 11:34 am

Kubernetes kubectl cp命令目录穿越漏洞(CVE-2019-11246)

帖子 雷雨 » 周二 7月 09, 2019 10:47 am

烈火科技安全响应中心监测到Kubernetes官方发布安全通告,披露了一个kubectl cp命令潜在目录穿越漏洞(CVE-2019-11246)。

漏洞描述

kubectl cp命令允许复制容器和用户计算机之间的文件,在通过tar解压时存在缺陷,当用户主动运行kubectl cp命令从container上复制tar文件并解压时可能导致用户计算机上的文件或数据被覆盖或创建。

影响组件
kubectl

影响版本

Kubernetes v1.0.x-1.10.x
Kubernetes v1.11.0-1.11.x
Kubernetes v1.12.0-1.12.9
Kubernetes v1.13.0-1.13.6
Kubernetes v1.14.0-1.14.2

安全版本

Kubernetes v1.12.9
Kubernetes v1.13.6
Kubernetes v1.14.2
Kubernetes v1.15.x

风险评级

CVE-2019-11246 高危

安全建议

升级Kubernetes至安全版本。

相关链接

https://groups.google.com/forum/m/#!topic/kubernetes-security-announce/NLs2TGbfPdo

雨涵
惊鸿侠影
惊鸿侠影
帖子: 157
注册时间: 周五 1月 13, 2017 9:42 am

Re: Kubernetes kubectl cp命令目录穿越漏洞(CVE-2019-11246)

帖子 雨涵 » 周二 7月 09, 2019 12:44 pm

是时候更新一波了

烈焰男孩
逍遥游侠
逍遥游侠
帖子: 49
注册时间: 周一 2月 27, 2017 2:04 pm

Re: Kubernetes kubectl cp命令目录穿越漏洞(CVE-2019-11246)

帖子 烈焰男孩 » 周三 7月 10, 2019 8:16 am

没用过这软件

回复