Kubernetes kubectl cp命令目录穿越漏洞(CVE-2019-11246)

日期:2019年07月05日

2019年7月03日,阿里云应急响应中心监测到Kubernetes官方发布安全通告,披露了一个kubectl cp命令潜在目录穿越漏洞(CVE-2019-11246)。


漏洞描述

kubectl cp命令允许复制容器和用户计算机之间的文件,在通过tar解压时存在缺陷,当用户主动运行kubectl cp命令从container上复制tar文件并解压时可能导致用户计算机上的文件或数据被覆盖或创建。


影响组件

kubectl 


影响版本

Kubernetes v1.0.x-1.10.x

Kubernetes v1.11.0-1.11.x

Kubernetes v1.12.0-1.12.9

Kubernetes v1.13.0-1.13.6

Kubernetes v1.14.0-1.14.2


安全版本

Kubernetes v1.12.9

Kubernetes v1.13.6

Kubernetes v1.14.2

Kubernetes v1.15.x


风险评级

CVE-2019-11246 高危


安全建议

升级Kubernetes至安全版本。


相关链接

https://groups.google.com/forum/m/#!topic/kubernetes-security-announce/NLs2TGbfPdo



我们会关注后续进展,请随时关注官方公告。

如有任何问题,可随时通过工单或服务电话95187联系反馈。

阿里云应急响应中心

2019.7.03


推荐文章