TRUSSELVURDERING (TLP HVIT)

[JustisCERT-varsel] [#064-2021] [TLP:HVIT] Alvorlig sårbarhet i Kubernetes

17-09-2021

JustisCERT ønsker å varsle om en alvorlig sårbarhet i Kubernetes, CVE-2021-25741 med CVSS-score 8.8, som gjør en bruker i stand til å lage en container med tilgang til filer og kataloger utenfor volumet, inkludert vertsfilsystemet [1].

 

Kubernetes har publisert oppdateringer som retter sårbarheten [2].

 


Berørte produkter er:
•    Kubernetes v1.22.0 - v1.22.1
•    Kubernetes v1.21.0 - v1.21.4
•    Kubernetes v1.20.0 - v1.20.10
•    Kubernetes  ≤ v1.19.14

 


Anbefalinger:
•    Patch/oppdater berørte produkter
•    Innfør mitigerende tiltak dersom patching/oppdatering ikke er mulig [1]
•    Prioriter systemer som kan nås fra internett

 


Kilder:
[1] https://github.com/kubernetes/kubernetes/issues/104980
[2] https://kubernetes.io/releases/