Kubernetes kubectl cp命令目录穿越漏洞(CVE-2019-11246)

 
0 424
泡沫随风飘
2019-07-05 11:13

2019年7月03日,阿里云应急响应中心监测到Kubernetes官方发布安全通告,披露了一个kubectl cp命令潜在目录穿越漏洞(CVE-2019-11246)。


漏洞描述

kubectl cp命令允许复制容器和用户计算机之间的文件,在通过tar解压时存在缺陷,当用户主动运行kubectl cp命令从container上复制tar文件并解压时可能导致用户计算机上的文件或数据被覆盖或创建。


影响组件

kubectl 


影响版本

Kubernetes v1.0.x-1.10.x

Kubernetes v1.11.0-1.11.x

Kubernetes v1.12.0-1.12.9

Kubernetes v1.13.0-1.13.6

Kubernetes v1.14.0-1.14.2


安全版本

Kubernetes v1.12.9

Kubernetes v1.13.6

Kubernetes v1.14.2

Kubernetes v1.15.x


风险评级

CVE-2019-11246 高危


安全建议

升级Kubernetes至安全版本。


相关链接

https://groups.google.com/forum/m/#!topic/kubernetes-security-announce/NLs2TGbfPdo



我们会关注后续进展,请随时关注官方公告。

如有任何问题,可随时通过工单或服务电话95187联系反馈。

阿里云应急响应中心

2019.7.03


来源:阿里云

本文内容由互联网用户自发贡献,版权归作者所有,本站不拥有所有权也不承担相关法律责任。如需转载请按以下形式注明来源: 复制

文章来源:阿里云牛优惠资讯网
文章标题:Kubernetes kubectl cp命令目录穿越漏洞(CVE-2019-11246)
原文地址:https://aliyunnew.com/a/437.html
发布时间:2019-07-05 11:13
相关话题

阿里云是什么

阿里云,阿里巴巴集团旗下云计算品牌,全球卓越的云计算技术和服务提供商。创立于2009年,在杭州、北京、硅谷等地设有研发中心和运营机构。...查看更多
猜您喜欢
回帖
  • 抢占沙发~~