Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Una vulnerabilidad crítica de Kubernetes Image Builder expone los nodos a riesgos de acceso raíz
  • Tecnología

Una vulnerabilidad crítica de Kubernetes Image Builder expone los nodos a riesgos de acceso raíz

teknomers 19 de Ekim de 2024 (Last updated: 19 de Ekim de 2024) 4 minutes read
Una vulnerabilidad crítica de Kubernetes Image Builder expone los nodos


17 de octubre de 2024Ravie LakshmananVulnerabilidad/Kubernetes

Se ha revelado una falla de seguridad crítica en Kubernetes Image Builder que, si se explota con éxito, podría aprovecharse para obtener acceso raíz en determinadas circunstancias.

La vulnerabilidad, rastreada como CVE-2024-9486 (Puntuación CVSS: 9,8), se ha solucionado en la versión 0.1.38. Los responsables del proyecto agradecieron a Nicolai Rybnikar por descubrir e informar sobre la vulnerabilidad.

“Se descubrió un problema de seguridad en Kubernetes Image Builder donde las credenciales predeterminadas se habilitan durante el proceso de creación de imágenes”, Joel Smith de Red Hat. dicho en una alerta.

“Además, las imágenes de máquinas virtuales creadas con el proveedor Proxmox no desactivan estas credenciales predeterminadas, y se puede acceder a los nodos que utilizan las imágenes resultantes a través de estas credenciales predeterminadas. Las credenciales se pueden usar para obtener acceso raíz”.

Ciberseguridad

Dicho esto, los clústeres de Kubernetes solo se ven afectados por la falla si sus nodos usan imágenes de máquinas virtuales (VM) creadas a través del proyecto Image Builder con el proveedor Proxmox.

Como mitigación temporal, se recomienda deshabilitar la cuenta de constructor en las máquinas virtuales afectadas. También se recomienda a los usuarios reconstruir las imágenes afectadas utilizando una versión fija de Image Builder y volver a implementarlas en las máquinas virtuales.

La solución implementada por el equipo de Kubernetes evita las credenciales predeterminadas para una contraseña generada aleatoriamente que se establece durante la creación de la imagen. Además, la cuenta del creador se desactiva al final del proceso de creación de la imagen.

Kubernetes Image Builder versión 0.1.38 también soluciona un problema tema relacionado (CVE-2024-9594, puntuación CVSS: 6,3) sobre las credenciales predeterminadas cuando se crean imágenes utilizando Nutanix, OVA, QEMU o proveedores sin formato.

La menor gravedad de CVE-2024-9594 se debe al hecho de que las máquinas virtuales que utilizan las imágenes creadas con estos proveedores son solo afectado “si un atacante pudo llegar a la máquina virtual donde se estaba creando la imagen y utilizó la vulnerabilidad para modificar la imagen en el momento en que se estaba creando la imagen”.

El desarrollo se produce cuando Microsoft lanzó parches del lado del servidor para tres fallas calificadas como críticas: Dataverse, Imagine Cup y Power Platform que podrían conducir a una escalada de privilegios y divulgación de información:

  • CVE-2024-38139 (Puntuación CVSS: 8,7): la autenticación incorrecta en Microsoft Dataverse permite a un atacante autorizado elevar los privilegios en una red
  • CVE-2024-38204 (Puntuación CVSS: 7,5): el control de acceso inadecuado en Imagine Cup permite a un atacante autorizado elevar los privilegios en una red
  • CVE-2024-38190 (Puntuación CVSS: 8,6): la falta de autorización en Power Platform permite que un atacante no autenticado vea información confidencial a través de un vector de ataque de red

También sigue a la divulgación de una vulnerabilidad crítica en el motor de búsqueda empresarial de código abierto Apache Solr (CVE-2024-45216, puntuación CVSS: 9,8) que podría allanar el camino para una omisión de autenticación en instancias susceptibles.

Ciberseguridad

“Un final falso al final de cualquier ruta URL de la API de Solr permitirá que las solicitudes omitan la autenticación mientras se mantiene el contrato de API con la ruta URL original”, Aviso de GitHub para los estados defectuosos. “Este final falso parece una ruta API desprotegida, sin embargo, se elimina internamente después de la autenticación pero antes del enrutamiento API”.

El problema, que afecta a las versiones de Solr 5.3.0 anteriores a 8.11.4, así como a 9.0.0 anteriores a 9.7.0, se solucionó en las versiones 8.11.4 y 9.7.0, respectivamente.

¿Encontró interesante este artículo? Síguenos en Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Crítica individual al FC Bayern: Kane primero como una oportunidad muerta, luego como la máxima categoría
Next: La policía arresta a un hombre tras una explosión en una casa de Meppel

Related Stories

Durante una misión espacial histórica, una nave privada intercepta otra
  • Tecnología

Durante una misión espacial histórica, una nave privada intercepta otra nave en órbita.

teknomers 4 de Temmuz de 2026
¿El final de OxygenOS y Realme UI? Los smartphones pasarían
  • Tecnología

¿El final de OxygenOS y Realme UI? Los smartphones pasarían ahora todos a ColorOS.

teknomers 4 de Temmuz de 2026
A medida que la demanda de DDR4 aumenta, Intel relanza
  • Tecnología

A medida que la demanda de DDR4 aumenta, Intel relanza sus CPU de 13ª y 14ª generación en China

teknomers 4 de Temmuz de 2026

You May Have Missed

  • General

Lección de vida: Cita del día de Donald Trump, “No Dream Is Too Big. No Challenge Is Too Great. Nothing We Want for Our Future Is Beyond Our Reach,” es un consejo sobre cómo alcanzar metas ambiciosas, mantener una actitud positiva y salir de la zona de confort.

teknomers 4 de Temmuz de 2026
  • Deporte

Keely Hodgkinson superada por Odira en Eugene

teknomers 4 de Temmuz de 2026
  • General

El Mejor Consejo para la Vida: El Mejor Consejo para la Vida por Dalai Lama: ‘No importa qué tipo de dificultades, cuán dolorosa sea la experiencia…’- Por qué aferrarse a la esperanza es la mayor fortaleza en tiempos difíciles.

teknomers 4 de Temmuz de 2026
« Mi aventura llega a su fin »: Hervé Renard anuncia su
  • Deporte

« Mi aventura llega a su fin »: Hervé Renard anuncia su salida de Túnez, 19 días después de su llegada

teknomers 4 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.