当前位置:首页 > 新闻中心

真人手机app-K8s kubectl 复制命令曝目录遍历漏洞

发布时间: 2021-05-17   来源: 真人app  
本文摘要:真人app,真人手机app,Twistlock的安全性科学研究工作人员ArielZelivansky公布了Kuberneteskubectl拷贝指令的一个文件目录解析xml漏洞。

真人app

Twistlock的安全性科学研究工作人员ArielZelivansky公布了Kuberneteskubectl拷贝指令的一个文件目录解析xml漏洞。发生漏洞的是指令kubectlcp,该指令容许在容器和客户电子计算机中间拷贝文件。要从容器中拷贝文件,Kubernetes启用容器内的`tar`二进制文件,以建立或解压tar包。对tar的实际操作取决于CMD/CP/cp.go,在其中的涵数`copyFromPod`完成了从容器中拷贝文件的全过程,它根据远程控制exec`&exec.DefaultRemoteExecutor`启用容器中的tar,随后在涵数`untarAll`中缓解压力客户设备上的結果。

此涵数应用“archive/tar”Go包开展tar分析,最终依据結果tar头将文件载入目标目录。这一全过程中,很显著假如容器上的`tar`二进制文件是恶意的,那麼它能够运作随意编码并輸出恶意結果,这将最后造成 典型性的文件目录解析xml进攻,容许恶意容器在拷贝时将一切文件载入客户电子计算机上的一切途径。尽管先前早已引进了`cp.go:clean`涵数来防止这一文件目录解析xml,可是Ariel发觉实际上能够建立和追踪来源于tar头的标记连接,攻击者能够制做一个恶意tar,在其中包括一个含有基本上一切途径的标记连接的头,及其一个与标记连接同名的的文件目录内文件的事后头。

真人app

真人手机app

当根据cpuntar涵数获取时,连接将造成 在标记连接的途径中建立或改动所需文件。攻击者很有可能会选用下列方法利用该漏洞:客户在不知道的状况下下载含有不正确tar的恶意容器镜像系统,攻击者能够将那样的镜像系统消息推送到一切注册表文件比如DockerHub,以得到他操纵或取决于网站域名假冒的时兴镜像系统。

真人app

攻击者利用另一个漏洞进攻已经运作的容器,或是在一些状况下,他很有可能有着对容器的合理合法访问限制。随后攻击者嵌入恶意tar更换镜像系统中的初始tar。在Ariel向Kubernetes和OpenShift安全性精英团队汇报后,该漏洞早已实官方网确定,而且百度收录为CVE-2019-1002101。

详尽公布关键点查询:-blog/disclosing-directory-traversal-vulnerability-kubernetes-copy-cve-2019-1002101。


本文关键词:真人app,真人手机app

本文来源:真人app-www.flfcministries.com