CNCF主催のKubernetesセキュリティ監査で、kubectlツールに影響を及ぼす重大度の高い脆弱性CVE-2019-11246が発見されました。
この脆弱性は、ディレクトリートラバーサルを通じて悪意のあるコンテナがユーザーのワークステーション上のファイルを置き換えたり作成したりする可能性があります。
この脆弱性は、以前の脆弱性CVE-2019-1002101の不完全な修正によるものです。
kubectlのクライアントバージョンが1.12.9、1.13.6、または1.14.2以降でない場合、脆弱なバージョンを実行している可能性があります。
アップグレード方法はKubernetesの公式ドキュメントを参照してください。
Falcoを使用して、このCVEのエクスプロイトを検出する方法が説明されています。
Falcoは、システムコールを利用してシステムアクティビティのイベントストリームを生成し、異常な振る舞いを警告するコンテナセキュリティモニタです。