Kube-router — готовое решение для работы в сети Kubernetes. До версии 2.8.0 прокси-модуль Kube-router не проверяет внешние IP-адреса или IP-адреса loadBalancer перед программированием их в сетевой конфигурации узла. Версия 2.8.0 содержит исправление этой проблемы.
Доступные обходные пути включают включение шлюза функций DenyServiceExternalIPs, развертывание политики допуска, ограничение создания служб RBAC, мониторинг изменений служб и применение фильтрации префиксов BGP.
Показать оригинальное описание (EN)
Kube-router is a turnkey solution for Kubernetes networking. Prior to version 2.8.0, Kube-router's proxy module does not validate externalIPs or loadBalancer IPs before programming them into the node's network configuration. Version 2.8.0 contains a patch for the issue. Available workarounds include enabling DenyServiceExternalIPs feature gate, deploying admission policy, restricting service creation RBAC, monitoring service changes, and applying BGP prefix filtering.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Kube-Router Kube-Router
cpe:2.3:a:kube-router:kube-router:*:*:*:*:*:kubernetes:*:*
|
— |
2.8.0
|