漏洞描述:
2019年7月03日,Kubernetes官方发布安全通告,披露了一个kubectl cp命令潜在目录穿越漏洞(CVE-2019-11246)。
kubectl cp命令允许复制容器和用户计算机之间的文件,在通过tar解压时存在缺陷,当用户主动运行kubectl cp命令从container上复制tar文件并解压时可能导致用户计算机上的文件或数据被覆盖或创建。
漏洞定级:
高危
漏洞影响范围:
影响的组件是:kubectl
漏洞不影响范围:
漏洞处置建议:
升级Kubernetes至安全版本。