Linux Distros 未修補的弱點:CVE-2020-11013
medium Nessus Plugin ID 261364
語言:
概要
Linux/Unix 主機上安裝的一個或多個套件存有弱點,供應商表示將不會修補。說明
Linux/Unix 主機上安裝了一個或多個受到弱點影響的套件,且廠商未提供可用的修補程式。- 是 3.1.0 版及之前版本 3.2.0版 Helm 中的資訊洩漏弱點。
`lookup` 是 Helm v3 中引入的一個 Helm 範本函式。它可以在叢集中查閱資源以檢查特定資源是否存在並取得其詳細資料。這可以做為轉譯範本之處理程序的一部分。`helm template` 的記錄行為指出其不會附加至遠端叢集。不過最近新增的 `lookup` 範本函式可規避此限制且即使在 `helm template` 和 `helm install|update|delete|rollback --dry-run`期間亦會連線至叢集。不會將此行為通知使用者。執行 `helm template` 時不應呼叫叢集。這與 `install` 不同後者假定具有叢集存取權以便將資源載入 Kubernetes。Helm 2 不受此弱點影響。惡意圖表作者可將 `lookup` 插入圖表中該圖表在透過 `helm template` 轉譯時會針對使用者的 `KUBECONFIG` 檔案指向的叢集執行不明查詢。然後可以透過 `helm template` 的輸出洩漏此資訊。此問題已在 Helm 中修正 3.2.0 (CVE-2020-11013)
請注意,Nessus 的判定取決於廠商所報告的套件是否存在。
解決方案
目前尚未有已知的解決方案。另請參閱
Plugin 詳細資訊
嚴重性: Medium
ID: 261364
檔案名稱: unpatched_CVE_2020_11013.nasl
版本: 1.1
類型: local
代理程式: unix
系列: Misc.
已發布: 2025/9/4
已更新: 2025/9/4
支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
風險資訊
VPR
風險因素: Low
分數: 2.4
CVSS v2
風險因素: Medium
基本分數: 4
時間性分數: 3.1
媒介: CVSS2#AV:N/AC:L/Au:S/C:P/I:N/A:N
CVSS 評分資料來源: CVE-2020-11013
CVSS v3
風險因素: Medium
基本分數: 5
時間性分數: 4.5
媒介: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:N/A:N
時間媒介: CVSS:3.0/E:P/RL:O/RC:C
弱點資訊
CPE: cpe:/o:canonical:ubuntu_linux:16.04:-:lts, cpe:/o:canonical:ubuntu_linux:22.04:-:lts, cpe:/o:canonical:ubuntu_linux:24.04:-:lts, p-cpe:/a:canonical:ubuntu_linux:helm, cpe:/o:canonical:ubuntu_linux:25.04, cpe:/o:canonical:ubuntu_linux:18.04:-:lts, cpe:/o:canonical:ubuntu_linux:20.04:-:lts
必要的 KB 項目: Host/local_checks_enabled, Host/cpu, global_settings/vendor_unpatched, Host/OS/identifier
可被惡意程式利用: true
可輕鬆利用: Exploits are available
弱點發布日期: 2020/4/24
參考資訊
CVE: CVE-2020-11013