中危 Kubernetes kubelet 资源管理错误漏洞

CVE编号

CVE-2020-8557

利用情况

EXP 已公开

补丁情况

官方补丁

披露时间

2020-07-24

漏洞描述

  Kubernetes是美国Linux基金会发布的一套开源的Docker容器集群管理系统。该系统为容器化的应用提供资源调度、部署运行、服务发现和扩容缩容等功能。kubelet是使用在其中的一个节点状态监控管理组件。 Kubernetes kubelet中存在资源管理错误漏洞。该漏洞源于网络系统或产品对系统资源（如内存、磁盘空间、文件等）的管理不当。以下产品及版本受到影响：Kubernetes kubelet 1.1版本至1.16.12版本，1.17.0版本至1.17.8版本，1.18.0版本至1.18.5版本。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：https://github.com/kubernetes/kubernetes/issues/93032

参考链接
https://github.com/kubernetes/kubernetes/issues/93032
https://groups.google.com/g/kubernetes-security-announce/c/cB_JUsYEKyY/m/vVSO61AhBwAJ
https://security.netapp.com/advisory/ntap-20200821-0002/

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	kubernetes	kubernetes	*		Up to (excluding) 1.16.13
	运行在以下环境
	应用	kubernetes	kubernetes	*	From (including) 1.17.0	Up to (excluding) 1.17.9
	运行在以下环境
	应用	kubernetes	kubernetes	*	From (including) 1.18.0	Up to (excluding) 1.18.6
	运行在以下环境
	系统	alpine_3.13	k3s	*		Up to (excluding) 1.18.6.1-r0
	运行在以下环境
	系统	alpine_3.14	k3s	*		Up to (excluding) 1.18.6.1-r0
	运行在以下环境
	系统	alpine_3.15	k3s	*		Up to (excluding) 1.18.6.1-r0
	运行在以下环境
	系统	alpine_3.16	k3s	*		Up to (excluding) 1.18.6.1-r0
	运行在以下环境
	系统	alpine_3.17	k3s	*		Up to (excluding) 1.18.6.1-r0
	运行在以下环境
	系统	alpine_3.18	k3s	*		Up to (excluding) 1.18.6.1-r0
	运行在以下环境
	系统	alpine_edge	k3s	*		Up to (excluding) 1.18.6.1-r0
	运行在以下环境
	系统	debian_11	kubernetes	*		Up to (excluding) 1.18.5-1
	运行在以下环境
	系统	debian_12	kubernetes	*		Up to (excluding) 1.18.5-1
	运行在以下环境
	系统	debian_sid	kubernetes	*		Up to (excluding) 1.18.5-1
	运行在以下环境
	系统	oracle_7	oraclelinux-release	*		Up to (excluding) 1.7.3-1.0.5.el7

阿里云评分 4.1

• 攻击路径 远程
• 攻击复杂度 容易
• 权限要求 普通权限
• 影响范围 有限影响
• EXP成熟度 EXP 已公开
• 补丁情况 官方补丁
• 数据保密性 数据泄露
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 N/A

CWE-ID	漏洞类型
CWE-400	未加控制的资源消耗（资源穷尽）

Exp相关链接

- avd.aliyun.com