Inicio / Alerta Temprana / Vulnerabilidades / CVE-2020-8569

Vulnerabilidad en el procesamiento de un recurso personalizado VolumeSnapshot en la funcionalidad volume snapshot en Kubernetes CSI snapshot-controller (CVE-2020-8569)

Tipo: 
Desreferencia a puntero nulo (NULL)
Gravedad: 
Media
Fecha publicación : 
21/01/2021
Última modificación: 
01/02/2021
Descripción
Kubernetes CSI snapshot-controller versiones v2.1.3 y v3.0.2, podía entrar en pánico al procesar un recurso personalizado VolumeSnapshot cuando: - El VolumeSnapshot hacía referencia a un PersistentVolumeClaim no existente y el VolumeSnapshot no hacía referencia a ningún VolumeSnapshotClass. - El snapshot-controller se bloquea, Kubernetes lo reinicia automáticamente y procesa el mismo recurso personalizado de VolumeSnapshot después del reinicio, ingresando en un bucle de bloqueo sin fin. Esta vulnerabilidad solo afecta a la funcionalidad volume snapshot. Cuando se explotaba, los usuarios no pueden tomar instantáneas de sus volúmenes o eliminar las instantáneas. Todas las demás funciones de Kubernetes no están afectadas
Impacto
Vector de acceso: A través de red
Complejidad de Acceso: Baja
Autenticación: No disponible
Tipo de impacto: No hay impacto en la integridad del sistema + No hay impacto en la confidencialidad del sistema + Afecta parcialmente a la disponibilidad del sistema
Productos y versiones vulnerables
  • cpe:2.3:a:kubernetes:container_storage_interface_snapshotter:*:*:*:*:*:*:*:*
Para consultar la lista completa de productos y versiones ver esta página
Referencias a soluciones, herramientas e información
  • N/A (Origen: CONFIRM)
  • N/A (Origen: MLIST)
Explicación de los campos