Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Una vulnerabilidad crítica de Kubernetes Image Builder expone los nodos a riesgos de acceso raíz
  • Tecnología

Una vulnerabilidad crítica de Kubernetes Image Builder expone los nodos a riesgos de acceso raíz

teknomers 19 de Ekim de 2024 (Last updated: 19 de Ekim de 2024) 4 minutes read
Una vulnerabilidad crítica de Kubernetes Image Builder expone los nodos


17 de octubre de 2024Ravie LakshmananVulnerabilidad/Kubernetes

Se ha revelado una falla de seguridad crítica en Kubernetes Image Builder que, si se explota con éxito, podría aprovecharse para obtener acceso raíz en determinadas circunstancias.

La vulnerabilidad, rastreada como CVE-2024-9486 (Puntuación CVSS: 9,8), se ha solucionado en la versión 0.1.38. Los responsables del proyecto agradecieron a Nicolai Rybnikar por descubrir e informar sobre la vulnerabilidad.

“Se descubrió un problema de seguridad en Kubernetes Image Builder donde las credenciales predeterminadas se habilitan durante el proceso de creación de imágenes”, Joel Smith de Red Hat. dicho en una alerta.

“Además, las imágenes de máquinas virtuales creadas con el proveedor Proxmox no desactivan estas credenciales predeterminadas, y se puede acceder a los nodos que utilizan las imágenes resultantes a través de estas credenciales predeterminadas. Las credenciales se pueden usar para obtener acceso raíz”.

Ciberseguridad

Dicho esto, los clústeres de Kubernetes solo se ven afectados por la falla si sus nodos usan imágenes de máquinas virtuales (VM) creadas a través del proyecto Image Builder con el proveedor Proxmox.

Como mitigación temporal, se recomienda deshabilitar la cuenta de constructor en las máquinas virtuales afectadas. También se recomienda a los usuarios reconstruir las imágenes afectadas utilizando una versión fija de Image Builder y volver a implementarlas en las máquinas virtuales.

La solución implementada por el equipo de Kubernetes evita las credenciales predeterminadas para una contraseña generada aleatoriamente que se establece durante la creación de la imagen. Además, la cuenta del creador se desactiva al final del proceso de creación de la imagen.

Kubernetes Image Builder versión 0.1.38 también soluciona un problema tema relacionado (CVE-2024-9594, puntuación CVSS: 6,3) sobre las credenciales predeterminadas cuando se crean imágenes utilizando Nutanix, OVA, QEMU o proveedores sin formato.

La menor gravedad de CVE-2024-9594 se debe al hecho de que las máquinas virtuales que utilizan las imágenes creadas con estos proveedores son solo afectado “si un atacante pudo llegar a la máquina virtual donde se estaba creando la imagen y utilizó la vulnerabilidad para modificar la imagen en el momento en que se estaba creando la imagen”.

El desarrollo se produce cuando Microsoft lanzó parches del lado del servidor para tres fallas calificadas como críticas: Dataverse, Imagine Cup y Power Platform que podrían conducir a una escalada de privilegios y divulgación de información:

  • CVE-2024-38139 (Puntuación CVSS: 8,7): la autenticación incorrecta en Microsoft Dataverse permite a un atacante autorizado elevar los privilegios en una red
  • CVE-2024-38204 (Puntuación CVSS: 7,5): el control de acceso inadecuado en Imagine Cup permite a un atacante autorizado elevar los privilegios en una red
  • CVE-2024-38190 (Puntuación CVSS: 8,6): la falta de autorización en Power Platform permite que un atacante no autenticado vea información confidencial a través de un vector de ataque de red

También sigue a la divulgación de una vulnerabilidad crítica en el motor de búsqueda empresarial de código abierto Apache Solr (CVE-2024-45216, puntuación CVSS: 9,8) que podría allanar el camino para una omisión de autenticación en instancias susceptibles.

Ciberseguridad

“Un final falso al final de cualquier ruta URL de la API de Solr permitirá que las solicitudes omitan la autenticación mientras se mantiene el contrato de API con la ruta URL original”, Aviso de GitHub para los estados defectuosos. “Este final falso parece una ruta API desprotegida, sin embargo, se elimina internamente después de la autenticación pero antes del enrutamiento API”.

El problema, que afecta a las versiones de Solr 5.3.0 anteriores a 8.11.4, así como a 9.0.0 anteriores a 9.7.0, se solucionó en las versiones 8.11.4 y 9.7.0, respectivamente.

¿Encontró interesante este artículo? Síguenos en Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Crítica individual al FC Bayern: Kane primero como una oportunidad muerta, luego como la máxima categoría
Next: La policía arresta a un hombre tras una explosión en una casa de Meppel

Related Stories

¿El final de OxygenOS y Realme UI? Los smartphones pasarían
  • Tecnología

¿El final de OxygenOS y Realme UI? Los smartphones pasarían ahora todos a ColorOS.

teknomers 4 de Temmuz de 2026
A medida que la demanda de DDR4 aumenta, Intel relanza
  • Tecnología

A medida que la demanda de DDR4 aumenta, Intel relanza sus CPU de 13ª y 14ª generación en China

teknomers 4 de Temmuz de 2026
Teclado gaming The G-Lab KEYZ Elite 400 HE, prueba completa
  • Tecnología

Teclado gaming The G-Lab KEYZ Elite 400 HE, prueba completa

teknomers 4 de Temmuz de 2026

You May Have Missed

  • Deporte

Los Springboks desatan su brutalidad en el gran partido contra una Inglaterra en decadencia

teknomers 4 de Temmuz de 2026
  • General

Guerra en Ucrania: Kiev desmiente la toma de Kostyantynivka reclamada por Rusia en la región de Donetsk

teknomers 4 de Temmuz de 2026
  • General

EN VIVO | Espectáculo Freedom 250 de Trump: Pasajes aéreos, fuegos artificiales y ‘Saludo a América’ – Teknomers

teknomers 4 de Temmuz de 2026
  • Deporte

«Un match así, no quieres vivirlo solo»: en el Dôme de Paris, 4,500 fans de Marruecos celebran su clasificación.

teknomers 4 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.