Google Kubernetes API服务器安全漏洞
权限、特权和访问控制
Google Kubernetes是美国Google公司的一套开源的Docker容器集群管理系统。该系统为容器化的应用提供资源调度、部署运行、服务发现和扩容缩容等功能。
Google Kubernetes的API服务器中存在安全漏洞。远程攻击者可通过将build配置设置为‘使用受限制的策略’,利用该漏洞获取权限。
Red Hat OpenShift Enterprise Kubernetes 安全漏洞
信息暴露
Red Hat OpenShift是美国红帽(Red Hat)公司的一款平台即服务(PaaS)云计算平台,它可构建、测试、部署和运行应用程序。OpenShift Enterprise是一个开源的私有云版本。Google Kubernetes是美国Google公司的一套开源的Docker容器集群管理系统。该系统为容器化的应用提供资源调度、部署运行、服务发现和扩容缩容等功能。
Red Hat OpenShift Enterprise 3.2版本中使用的Kubernetes中的API服务器存在安全漏洞。远程攻击者可利用该漏洞获取敏感程序和用户信息。
Buger Jsonparser是Buger个人开发者的一个基于Go语言的用于与json格式数据进行交互的代码库。
jsonparser 1.0.0 存在安全漏洞,该漏洞允许攻击者可利用该漏洞通过GET调用导致拒绝服务。
Red Hat OpenShift Origin 安全漏洞
凭据管理错误
Red Hat OpenShift Origin是美国红帽(Red Hat)公司的一款开源平台即服务(PaaS)产品,它提供了一个云计算平台,开发者可在上面构建、测试、部署和运行应用程序,并支持Node.js和MongoDB等语言环境和框架。openshift-node是一套用于登录journal系统的专用RSA密钥。
Red Hat OpenShift Origin 1.1.6及之前版本中的openshift-node存在安全漏洞。本地攻击者可通过读取系统日志利用该漏洞获取敏感私钥信息。
miekg Go DNS package 安全特征问题漏洞
使用具有密码学弱点缺陷的PRNG
miekg Go DNS package是一款DNS服务器软件包。
miekg Go DNS package 1.1.25之前版本(用在CoreDNS 1.6.6之前版本和其他产品)中存在安全漏洞,该漏洞源于程序没有正确生成随机数。攻击者可利用该漏洞伪造响应。
buger jsonparser Library API 安全漏洞
不可达退出条件的循环(无限循环)
Library是其中的一个库。
buger jsonparser 2019-12-04之前版本中的Library API存在安全漏洞。攻击者可借助Delete调用利用该漏洞导致拒绝服务(无限循环)。
helm是一款Kubernetes包管理器。
Helm 存在注入漏洞,该漏洞源于从可能不受信任的源加载的数据没有得到适当的处理。
kubernetes 安全漏洞
对外部实体的文件或目录可访问
Kubernetes是美国Linux基金会的一套开源的Docker容器集群管理系统。该系统为容器化的应用提供资源调度、部署运行、服务发现和扩容缩容等功能。
kubernetes 存在安全漏洞,攻击者可利用该漏洞通过创建具有精心编制的子路径卷装载的pod,以访问卷外的文件和目录,包括主机节点的文件系统上的文件和目录
go.uuid 安全特征问题漏洞
使用具有密码学弱点缺陷的PRNG
go.uuid是一个用于 Go 的 UUID 包。这个包提供了通用唯一标识符 (UUID) 的纯 Go 实现。支持 UUID 的创建和解析。
go.uuid存在安全漏洞,该漏洞源于g.rand.Read函数中存在不安全的随机性导致攻击者可利用该漏洞可以预测生成的uuid。。
Libcontainer和Docker Engine 权限许可和访问控制漏洞
在文件访问前对链接解析不恰当(链接跟随)
Libcontainer和Docker Engine都是美国Docker公司的产品。Libcontainer是一个Linux容器。Docker Engine是一套轻量级的运行环境和包管理工具。
Libcontainer和Docker Engine 1.6.1之前版本中存在安全漏洞,该漏洞源于程序在执行更改根目录操作前打开文件描述符(传递到pid-1进程)。本地攻击者可通过在图像上实施符号链接攻击利用该漏洞获取权限。
Red Hat OpenShift和OpenShift Origin 安全漏洞
权限、特权和访问控制
Red Hat OpenShift和Red Hat OpenShift Origin都是美国红帽(Red Hat)公司的产品。前者一款平台即服务(PaaS)云计算平台,它可构建、测试、部署和运行应用程序,OpenShift Enterprise是一个开源的私有云版本;后者是是美国红帽(Red Hat)公司的一款开源平台即服务(PaaS)产品,它提供了一个云计算平台,开发者可在上面构建、测试、部署和运行应用程序,并支持Node.js和MongoDB等语言环境和框架。
Red Hat OpenShift Enterprise 3.2版本和OpenShift Origin中存在安全漏洞。远程攻击者可通过更改sti builder镜像中的root密码利用该漏洞以root权限执行命令。
Red Hat OpenShift Enterprise和OpenShift Origin HAProxy 信息泄露漏洞
信息暴露
Red Hat OpenShift和Red Hat OpenShift Origin都是美国红帽(Red Hat)公司的产品。前者一款平台即服务(PaaS)云计算平台,它可构建、测试、部署和运行应用程序,OpenShift Enterprise是一个开源的私有云版本,HAProxy是用于其中的一款法国HAProxy公司的开源的TCP/HTTP负载均衡服务器;后者是是美国红帽(Red Hat)公司的一款开源平台即服务(PaaS)产品,它提供了一个云计算平台,开发者可在上面构建、测试、部署和运行应用程序,并支持Node.js和MongoDB等语言环境和框架。
Red Hat OpenShift Enterprise 3.2版本和OpenShift Origin的Haproxy中存在安全漏洞。本地攻击者可通过读取‘OPENSHIFT_[namespace]_SERVERID’cookie利用该漏洞获取pod的内部IP地址。
jwt-go是个人开发者的一个Go语言的JWT实现。
jwt-go 4.0.0-preview1之前版本存在安全漏洞。攻击者可利用该漏洞在使用[]string{} for m[\"aud\"](规范允许)的情况下绕过预期的访问限制。
Kubernetes是美国Linux基金会的一套开源的Docker容器集群管理系统。该系统为容器化的应用提供资源调度、部署运行、服务发现和扩容缩容等功能。
Kubernetes 存在安全漏洞,攻击者可利用该漏洞可以通过Kubernetes上的LoadBalancer ExternalIP充当中间人,以便在会话中读取或写入数据。
GE APM是美国通用电气(GE)公司的一款设备监控系统。该系统可以持续性对设备运行状态和故障进行监视。
Elastic APM agent for Go中存在日志信息泄露漏洞,该漏洞源于网络系统或产品的日志文件非正常输出。
Docker Engine 权限许可和访问控制漏洞
权限、特权和访问控制
Docker Engine是美国Docker公司的一套轻量级的运行环境和包管理工具。
Docker Engine 1.6.1之前版本中存在安全漏洞,该漏洞源于程序没有正确限制数据卷的挂载配置。本地攻击者可借助特制的图像利用该漏洞设置任意Linux Security Modules(LSM)和docker_t策略。
Red Hat OpenShift Origin API服务器拒绝服务漏洞
输入验证不恰当
Red Hat OpenShift Origin是美国红帽(Red Hat)公司的一款开源平台即服务(PaaS)产品,它提供了一个云计算平台,开发者可在上面构建、测试、部署和运行应用程序,并支持Node.js和MongoDB等语言环境和框架。
Red Hat OpenShift Origin 1.0.5版本的API服务器中存在安全漏洞。远程攻击者可借助特制的JSON数据利用该漏洞造成拒绝服务(主进程崩溃)。
评论