๐ Kubernetes bis 1.2.0-alpha.4 Pod Log Handler Information Disclosure
๐ก Newskategorie: Sicherheitslรผcken
๐ Quelle: scip.ch
Allgemein
scipID: 82061
Betroffen: Kubernetes bis 1.2.0-alpha.4
Veröffentlicht: 11.04.2016
Risiko: problematisch
Erstellt: 12.04.2016
Eintrag: 65.7% komplett
Beschreibung
Eine Schwachstelle wurde in Kubernetes bis 1.2.0-alpha.4 ausgemacht. Sie wurde als problematisch eingestuft. Es geht hierbei um eine unbekannte Funktion der Komponente Pod Log Handler. Dank Manipulation mit einer unbekannten Eingabe kann eine Information Disclosure-Schwachstelle ausgenutzt werden. Auswirkungen hat dies auf die Vertraulichkeit. Die Zusammenfassung von CVE lautet:
Kubernetes before 1.2.0-alpha.5 allows remote attackers to read arbitrary pod logs via a container name.
Die Schwachstelle wurde am 11.04.2016 herausgegeben. Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2015-7528 gehandelt. Umgesetzt werden kann der Angriff über das Netzwerk. Technische Details oder ein Exploit zur Schwachstelle sind nicht verfügbar.
Ein Aktualisieren auf die Version 1.2.0-alpha.5 vermag dieses Problem zu lösen.CVSS
Base Score: 3.5 (CVSS2#AV:N/AC:M/Au:S/C:P/I:N/A:N) [?]
Temp Score: 3.0 (CVSS2#E:ND/RL:OF/RC:ND) [?]
CPE
- cpe:/a:kubernetes:kubernetes:1.2.0-alpha.0
- cpe:/a:kubernetes:kubernetes:1.2.0-alpha.1
- cpe:/a:kubernetes:kubernetes:1.2.0-alpha.2
- cpe:/a:kubernetes:kubernetes:1.2.0-alpha.3
- cpe:/a:kubernetes:kubernetes:1.2.0-alpha.4
Exploiting
Klasse: Information Disclosure
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $1k-$2k (0-day) / $0-$1k (Heute)
Gegenmassnahmen
Empfehlung: Upgrade
Status: Offizieller Fix
0-Day Time: 0 Tage seit gefunden
Upgrade: Kubernetes 1.2.0-alpha.5
Timeline
11.04.2016 | Advisory veröffentlicht
12.04.2016 | VulDB Eintrag erstellt
12.04.2016 | VulDB Eintrag aktualisiert
Quellen
CVE: CVE-2015-7528 (mitre.org) (nvd.nist.org) (cvedetails.com)
...