Уязвимость BDU:2022-01684

Идентификатор: BDU:2022-01684.

Наименование уязвимости: Уязвимость компонента kube-apiserver программного средства управления кластерами виртуальных машин Kubernetes, позволяющая нарушителю нарушить целостность данных, а также вызвать отказ в обслуживании.

Описание уязвимости: Уязвимость компонента kube-apiserver программного средства управления кластерами виртуальных машин Kubernetes связана с неправильной авторизацией. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, нарушить целостность данных, а также вызвать отказ в обслуживании
Уязвимое ПО: Операционная система Debian GNU/Linux 11 | ПО для разработки ИИ Google Inc Kubernetes до 1.18.18 | ПО для разработки ИИ Google Inc Kubernetes от 1.19.0 до 1.19.10 | ПО для разработки ИИ Google Inc Kubernetes от 1.20.0 до 1.20.6 |

Наименование ОС и тип аппаратной платформы: Debian GNU/Linux 11 |
Дата выявления: 10.03.2021.
CVSS 2.0: AV:N/AC:L/Au:S/C:N/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)

Возможные меры по устранению:
Для Kubernetes:
использование рекомендаций производителя: https://github.com/kubernetes/kubernetes/issues/100096

Для Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2021-25735.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2021-25735.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://github.com/kubernetes/kubernetes/issues/100096
https://nvd.nist.gov/vuln/detail/CVE-2021-25735
https://security-tracker.debian.org/tracker/CVE-2021-25735
https://www.openwall.com/lists/oss-security/2021/04/14/1