Kubernetes bis 1.1-1.14/1.15.9/1.16.6/1.17.2 kube-apiserver Denial of Service

eintrageditHistoryDiffjsonxmlCTI
CVSS Meta Temp Score
Aktueller Exploitpreis (≈)
CTI Interest Score
5.1$0-$5k0.00

In Kubernetes bis 1.1-1.14/1.15.9/1.16.6/1.17.2 (Virtualization Software) wurde eine Schwachstelle entdeckt. Sie wurde als problematisch eingestuft. Betroffen ist ein unbekannter Teil der Komponente kube-apiserver. Durch das Manipulieren mit einer unbekannten Eingabe kann eine Denial of Service-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-404. Das hat Auswirkungen auf die Verfügbarkeit. CVE fasst zusammen:

The Kubernetes API Server component in versions 1.1-1.14, and versions prior to 1.15.10, 1.16.7 and 1.17.3 allows an authorized user who sends malicious YAML payloads to cause the kube-apiserver to consume excessive CPU cycles while parsing YAML.

Die Schwachstelle wurde am 01.04.2020 an die Öffentlichkeit getragen. Eine eindeutige Identifikation der Schwachstelle wird seit dem 17.04.2019 mit CVE-2019-11254 vorgenommen. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Zur Ausnutzung ist eine einfache Authentisierung erforderlich. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1499.

Ein Upgrade auf die Version 1.15.10, 1.16.7 oder 1.17.3 vermag dieses Problem zu beheben.

Produktinfoedit

Typ

Name

CPE 2.3infoedit

CPE 2.2infoedit

CVSSv3infoedit

VulDB Meta Base Score: 5.4
VulDB Meta Temp Score: 5.1

VulDB Base Score: 4.3
VulDB Temp Score: 4.1
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 6.5
NVD Vector: 🔍

CVSSv2infoedit

AVACAuCIA
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
VectorComplexityAuthenticationConfidentialityIntegrityAvailability
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock
unlockunlockunlockunlockunlockunlock

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

Exploitinginfoedit

Klasse: Denial of Service
CWE: CWE-1050
ATT&CK: Unbekannt

Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Status: Nicht definiert

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayunlockunlockunlockunlock
Heuteunlockunlockunlockunlock

Threat Intelligenceinfoedit

Bedrohungslage: 🔍
Gegner: 🔍
Geopolitik: 🔍
Ökonomie: 🔍
Voraussagen: 🔍
Massnahmen: 🔍

Gegenmassnahmeninfoedit

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔍

Upgrade: Kubernetes 1.15.10/1.16.7/1.17.3

Timelineinfoedit

17.04.2019 🔍
01.04.2020 +350 Tage 🔍
02.04.2020 +1 Tage 🔍
06.10.2020 +187 Tage 🔍

Quelleninfoedit

Status: Nicht definiert
Bestätigung: 🔍

CVE: CVE-2019-11254 (🔍)

Eintraginfoedit

Erstellt: 02.04.2020 12:56
Aktualisierung: 06.10.2020 18:50
Anpassungen: (1) advisory_confirm_url
Komplett: 🔍

Kommentare

Might our Artificial Intelligence support you?

Check our Alexa App!