Уязвимости Kubernetes: CVE, БДУ ФСТЭК и мониторинг
Уязвимости Kubernetes из реестра БДУ ФСТЭК: 146 записей. CVE, CVSS-оценки и сроки устранения по приказу ФСТЭК №117.
Уязвимости Kubernetes из БДУ ФСТЭК
Показаны уязвимости с подтверждённой эксплуатацией (KEV, EPSS ≥ 10%, exploit). Всего в БДУ: 146.
BDU:2019-00826Уязвимость инструмента для запуска изолированных контейнеров runc, связанная с ошибками обработки файлового дескриптора, позволяющая нарушителю выполнить произвольный код
BDU:2019-00822Уязвимость программного средства управления кластерами виртуальных машин Kubernetes, связанная с некорректной обработкой ошибок, позволяющая нарушителю повысить свои привилегии
BDU:2022-03181Уязвимость реализации сценария c_rehash библиотеки OpenSSL, позволяющая нарушителю выполнять произвольные команды
BDU:2022-01315Уязвимость функции BN_mod_sqrt() библиотеки OpenSSL, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2023-01956Уязвимость объекта Error.prepareStackTrace библиотеки vm2 пакетного менеджера NPM, позволяющая нарушителю выйти из изолированной программной среды и выполнить произвольный код
BDU:2023-07421Уязвимость компонента nginx.ingress.kubernetes.io/permanent-redirect контроллера входящего трафика в кластере Kubernetes ingress-nginx, позволяющая нарушителю выполнить произвольные команды
BDU:2020-00025Уязвимость библиотеки синтаксического анализатора YAML программного средства управления кластерами виртуальных машин Kubernetes, позволяющая нарушителю вызвать отказ в обслуживании
BDU:2024-03825Уязвимость программного обеспечения развертывания и управления конфиденциальными контейнерами Azure Kubernetes Service Confidential Containers, связанная с недостатками контроля доступа, позволяющая н
BDU:2023-04982Уязвимость модуля pod программного средства управления кластерами виртуальных машин Kubernetes, позволяющая нарушителю повысить свои привилегии
BDU:2020-02155Уязвимость программного средства управления кластерами виртуальных машин Kubernetes, связанная с неконтролируемым расходом ресурса, позволяющая нарушителю вызвать отказ в обслуживании
Почему важно отслеживать уязвимости Kubernetes
Kubernetes — стандарт оркестрации контейнеров, но его сложная архитектура (API Server, etcd, kubelet, kube-proxy) создаёт множество векторов атаки. Типовые уязвимости: обход RBAC-авторизации, побег из pod через volume mounts, эксплуатация уязвимых sidecar-контейнеров. CVE в Kubernetes часто имеют высокий CVSS из-за потенциального захвата всего кластера. Для Kubernetes-кластеров, обслуживающих КИИ-приложения, мониторинг CVE через БДУ ФСТЭК дополняет стандартные практики: CIS Benchmarks, Pod Security Standards, Network Policies.
Сроки устранения по приказу ФСТЭК №117
Приказ ФСТЭК №117 (п. 38) устанавливает сроки устранения уязвимостей в зависимости от уровня критичности. Отсчёт начинается с момента выявления уязвимости в инфраструктуре оператора. Методика КЗИ дополнительно контролирует: уязвимости с опубликованным патчем не должны оставаться неустранёнными более 30 дней (для устройств на периметре) или 90 дней (для внутренних систем).
CVSS 9.0–10.0
24 часа
CVSS 7.0–8.9
7 дней
CVSS 4.0–6.9
30 дней
CVSS 0.1–3.9
Плановое
Полезные ресурсы
Автоматизируйте мониторинг уязвимостей Kubernetes
SGRC-платформа КиберОснова: синхронизация с БДУ ФСТЭК, расчёт SLA, уведомления.