CVE-2018-14632

Impact:
Important
Public Date:
2018-09-06
CWE:
CWE-787
Bugzilla:
1625885: CVE-2018-14632 atomic-openshift: json の oc patch が masterapi サーバーをクラッシュさせる
OpenShift Container Platform 3.x で 'oc patch' 機能を使用して オブジェクトにパッチを当てると、範囲外書き込みが可能になります。この脆弱性を使うと、攻撃者はクラスター管理を提供している Openshift master API サービスでサービス拒否攻撃を発生させることが可能になります。

Find out more about CVE-2018-14632 from the MITRE CVE dictionary dictionary and NIST NVD.

Statement

マルチマスターの Openshift Container Platform クラスターの回復性は高いものですが、攻撃が続けられると重要な影響が引き起こされます。

CVSS v3 評価基準

CVSS3 基本値 7.7
CVSS3 基本評価基準 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H
攻撃元区分 Network
攻撃条件の複雑さ Low
必要な特権レベル Low
ユーザ関与レベル None
スコープ Changed
機密性 None
完全性への影響 None
可用性への影響 High

Red Hat Security Errata

Platform Errata Release Date
Red Hat OpenShift Container Platform 3.6 (atomic-openshift) RHSA-2018:2654 2018-09-26
Unless explicitly stated as not affected, all previous versions of packages in any minor update stream of a product listed here should be assumed vulnerable, although may not have been subject to full analysis.

Acknowledgements

Red Hat は、この問題をご報告いただいた Lars Haugan 氏に謝意を表します。
Last Modified