Vulnerabilidades de acceso remoto  al contenedor de minikube

Se ha descubierto dos nuevas vulnerabilidades en minikube, la cual es una herramienta de utilidad que configura un entorno de Kubernetes en una máquina local para desarrollar y probar aplicaciones.

La primera vulnerabilidad identificada como CVE-2023-1174 y una puntuación CVSS de 9.8 expone un puerto de red en Minikube que se ejecuta en macOS con el controlador Docker que podría permitir un acceso remoto inesperado al contenedor de Minikube.

Versiones afectadas

  • v1.28.0
  • v1.27.1
  • v1.27.0
  • v1.26.1
  • v1.26.0

La segunda vulnerabilidad identificada como CVE-2023-1944 y con puntación CVSS de 8.4 permite el acceso ssh al contenedor Minikube utilizando una contraseña predeterminada.

Versiones afectadas

  • Todas las versiones anteriores a la v.1.30.0

Solución

  • Actualizar a la versión v.1.30.0

Recomendaciones

  • Se recomienda a los usuarios actualizar Minikube a la última versión y eliminar cualquier clúster creado con una versión afectada.

Referencias