Kubernetesは、kubectl cpに関連する脆弱性CVE-2019-11246を発表しました。 この脆弱性により、攻撃者はkubectl cpコマンドを悪用し、パストラバーサルを使用してコンテナのTARパッケージからコンテナのホスト上のパスに悪意のあるファイルを書き込むことができます。 このプロセスは、ローカルシステムの権限によってのみ制限されます。
背景情報
この脆弱性の影響は、CVE-2019-1002101の脆弱性の影響と同様です。 CVE-2019-1002101の脆弱性の詳細については、「CVE-2019-1002101: kubectl fix potential directory traversal #75037」をご参照ください。
kubectl cp は、コンテナーとホスト間でファイルをコピーするコマンドです。 kubectl cpコマンドを実行してコンテナからホストにファイルをコピーすると、Kubernetesは次の手順を実行します。コンテナにTARファイルを作成し、パッケージファイルをホストに送信し、ホストでパッケージファイルを解凍します。
攻撃者がkubectl cpコマンドを実行する権限を持っている場合、攻撃者は悪意のあるTARファイルを送信してホストを攻撃する可能性があります。
影響を受けるKubernetesバージョン
- kubectl V1.11.xおよびそれ以前
- kubectl V1.12.1からV1.12.8 (V1.12.9で固定)
- kubectl V1.13.1からv1.13.5 (V1.13.6で修正)
- kubectl V1.14.1 (V1.14.2で固定)
説明
kubectl version -- clientコマンドを実行して、kubectlのバージョンを確認できます。解決策
kubectlをアップグレードし、kubectlのバージョンを確認します。 詳しくは、「kubectl のインストールと設定」をご参照ください。
- kubectlのバージョンがV1.12.xの場合は、V1.12.9にアップグレードします。
- kubectlのバージョンがV1.13.xの場合は、V1.13.6にアップグレードします。
- kubectlのバージョンがV1.14.xの場合は、V1.14.2にアップグレードします。
- kubectlのバージョンがV1.11以前の場合は、V1.12.9、V1.13.6、またはV1.14.2にアップグレードしてください。