Sicherheitslücke in “kubectl”-Befehl

Sicherheitslücke in "kubectl"-Befehl

Von

Im Copy-Kommando “cp” von Kubectl haben Sicherheitsforscher eine schwerwiegende Sicherheitslücke entdeckt. Admins sollten die Fixes einspielen.

Mit “kubectl” lassen sich Kubernetes-Cluster verwalten und konfigurieren. Nun berichtet Joe Smith von Red Hat über eine schwerwiegende Sicherheitslücke in dem Kommandozeilentool. Dank der darf der Betreiber eines bösartigen Containers Dateien auf dem Arbeitsrechner eines Nutzers ersetzen oder erzeugen.

Die Lücke steckt im “cp”-Befehl. Dieser erlaubt es, Dateien zwischen dem Container und dem Benutzerrechner hin und her zu kopieren. Sie betrifft die “kubectl”-Clients, die über eine bestimmte Nutzerinteraktion die Verzeichnisse auf dem Arbeitsrechner durchforsten. Über ein manipuliertes Tar-Archiv, dass der Container automatisch entpackt, lassen sich auf dem Arbeitsrechner dann bösartige Dateien platzieren.

Updates einspielen

Um das Problem zu beheben, empfiehlt Smith, “kubectl” auf die Versionen 1.12.9, 1.13.6 und 1.14.2 oder deren Nachfolger zu aktualisieren. Um herauszufinden, welche Version des Client auf einem System läuft, hilft der Befehl “kubectl version –client”. Update-Informationen gibt es hier, die Lücke selbst ist als CVE-2019-11246 veröffentlicht.

Nicht zufällig erinnere die Lücke an die CVE-2019-1002101, schreibt Smith. Der Fix für diese Kopierlücke sei unvollständig gewesen. Die neue Lücke verwende einfach eine andere Methode, um CVE-2019-1002101 auszunutzen. Weitere Details liefert ein Pull Request auf Github.

Verwandte Artikel

UN-Bericht warnt vor Umweltfolgen der KI

(C) unter Verwendung eines Motivs von Andrei Suslov / 123RF.com

Ein Bericht des United Nations University Institute for Water, Environment and Health (UNU-INWEH) der Universität der UN warnt vor den gewaltigen Klimafolgen von künstlicher Intelligenz.

Tails-Update schließt Sicherheitslücken

Logo Tails

Tails, eine Linux-Distribution, die die Privatsphäre ihrer Anwender bewahren und vor Zensur, Werbung und Viren schützen soll, ist in der Version 7.8.1 erschienen, die einige Sicherheitslücken schließt.

X11-Session verschwindet bald endgültig aus KDE

Wayland-Logo

Was erstmals bereits vor 15 Jahren angekündigt wurde, soll nun in fünf Monaten Wirklichkeit werden. Das Release 6.8 von Plasma wird erstmals keine eigene KDE-Session mehr enthalten und nur noch Wayland verwenden.

Linux-Kommandozeilentools kommen für Windows

Logo Windows 11 (Quelle: Microsoft)

Mit den "Coreutils for Windows" stellt Microsoft ein Set von Kommandozeilenwerkzeugen - dieselben wie unter Linux, MacOS oder WSL - bereit, das nativ unter Windows ausgeführt werden kann.

KI-Modelle lernen mit Open-Source-Daten Diagramme zu lesen

(C) unter Verwendung eines Motivs von Andrei Suslov / 123RF.com

Das neue Trainingsdatenset ChartNet, entworfern von Forschern des MIT und des MIT-IBM Computing Research Lab, könnte die Genauigkeit von Vision-Language-Modellen (VLM) verbessern, die bei der Analyse von Geschäftstrends oder der Interpretation wissenschaftlicher Abbildungen helfen.

E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Inline Feedbacks
Alle Kommentare anzeigen
© COMPUTEC MEDIA GmbH
Nach oben