-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 Prezados, CAIS-Alerta [27/12/2019]: Vulnerabilidades na API do Kubernetes O CAIS alerta para as recentes vulnerabilidades críticas encontradas na API do Kubernetes, as quais podem causar roubo de sessão HTTP e negação dos serviços hospedados no sistema. Já foram desenvolvidos códigos de exploração para algumas das vulnerabilidades identificadas. DESCRIÇÃO CVE-2019-16276 Uma falha na biblioteca HTTP padrão da linguagem GO - usada para analisar solicitações HTTP no Kubernetes, permite a validação de cabeçalhos HTTP com espaços em branco da mesma forma que cabeçalhos válidos. Quando configurada para ser usada atrás de um proxy reverso para autenticação e controle de acesso de usuários, a API do Kubernetes pode ignorar cabeçalhos inválidos, podendo permitir que usuários maliciosos se autentiquem enviando um cabeçalho HTTP especialmente modificado que pode permitir autenticação no sistema com um usuário com privilégios administrativos. CVE-2019-11253 A API do Kubernetes - kube-apiserver - pode permitir que determinados usuários enviem payloads YAML ou JSON maliciosos, fazendo com que a API consuma recursos de processamento ou memória em excesso, podendo travar todo o sistema e deixá-lo indisponível. SISTEMAS IMPACTADOS Sistemas em containeres que utilizam Kubernetes. VERSÕES AFETADAS Versões 1.0.0 a 1.12.x Versões v1.13.0 a 1.13.11 Versões v1.14.0 a 1.14.7 Versões v1.15.0 a 1.15.4 Versões v1.16.0 a 1.16.1 CORREÇÕES DISPONÍVEIS Atualizar a versão do Kubernets para as seguintes versões abaixo ou para as versões mais recentes disponibilizadas pelos desenvolvedores: - - Versão 1.13.12 para versões 1.13.11 e anteriores (incluindo as versões 1.0.0 até 1.12.x). - - Versão 1.14.8 para versões 1.14.7 e anteriores. - - Versão 1.15.5 para versões 1.15.4 e anteriores. - - Versão 1.16.2 para versões 1.16.1 e anteriores. IMPORTANTE: Uma mitigação que pode ser realizada antes da atualização é remover as regras de autorização que concedem acesso de "criação" a usuários não autenticados. IDENTIFICADORES CVE (http://cve.mitre.org) CVE-2019-16276. CVE-2019-11253. MAIS INFORMAÇÕES https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11253 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-16276 https://threatpost.com/kubernetes-bugs-authentication-bypass-dos/149265/ https://github.com/kubernetes/kubernetes/issues/83253 https://github.com/golang/go/issues/34540 https://groups.google.com/forum/#!topic/kubernetes-security-announce/jk8polzSUxs O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes. Os alertas do CAIS também podem ser acompanhados pelas redes sociais da RNP. Siga-nos! Twitter: @caisRNP Facebook: facebook.com/RedeNacionaldeEnsinoePesquisaRNP. Atenciosamente, CAIS/RNP ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # cais@cais.rnp.br http://www.rnp.br/servicos/seguranca # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel https://www.cais.rnp.br/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- Version: OpenPGP.js v2.6.2 Comment: https://openpgpjs.org wsFcBAEBCAAQBQJeBmv/CRB83qA0uPj0mAAAuiQP+QEZKNbbzRo2q0QnUfYa dIZO1Pl3pEWqp20k9I3oIgcsxDu7Kc3S0HG3iS9p82GA8Y5tH0FWin7NQOEX OglXQSyy74KdnNzsLt/Z8TfD4q5VWmDyOU8IkkYcDvy5VZKefInvCM8UFVWH 8FAgdULGybjtzVkuTHqEbwDRgKAiQd93evlooi2KKtLdSTYzl7c/8Hkh7H3+ 5a2InhHvFWgE3taN49pKq6EBHsG2U/8JKaf4VOIbFR4xFsyQge+0e3SEE5Eb YBhkFW2NDkSOk1WO+GUKqXtTP0MARHt9c/uaQJ34EuDsSOcJvvjdQ1x166Rv +8hRT7zvChBmQga5nelzjLjvBPOzA3za7xJi3VL2oDXCDFKKybZIQsbM2uy3 hiA7B0+3zGkSdH79LxkwoPeaXsEtzm3cL+3ykMpoSTlj3KfUxEdHodaERRTg TugWl2XUJrMsIwxw/81M3r6mOvoADoPxwt+ShrS0Is8SneNOfdWu+XZPJ1bj vSxOnEYqyG87JiQ0Ca11Nd/I/QRHW7EPjUMuHk/EEJ3QqZCUqxdcyVM/dMsn vbHorR0VGp+tJ7bGz8H/ImszZbbCURDMzBksc3X3JrEoAH39IfVaO/Se/Np1 h0L1jMOM3GhaPh3X1UC6YJS/YQe0sVK44dUCRGtPF/3gk8rUlsK8nDZ/d/PJ DZmP =Dhjg -----END PGP SIGNATURE----- _______________________________________________ RNP-Alerta rnp-alerta@listas.rnp.br http://listas.rnp.br/mailman/listinfo/rnp-alerta