发布日期：2019-07-09
更新日期：2019-07-09

受影响系统：

pivotal Cloud Foundry Container Runtime (CFCR) 0.7
pivotal Cloud Foundry Container Runtime (CFCR) 0.26
pivotal Cloud Foundry Container Runtime (CFCR) 0.25
pivotal Cloud Foundry Container Runtime (CFCR) 0.10

不受影响系统：

pivotal Cloud Foundry Container Runtime (CFCR) 0.28

描述：

---

BUGTRAQ  ID: 107434
CVE(CAN) ID: CVE-2019-3780

Cloud Foundry Container Runtime是美国Pivotal Software公司的一个开源项目，可通过使用BOSH部署和管理Kubernetes集群。
Cloud Foundry Container Runtime中存在权限提升漏洞，该漏洞源于Cloud Foundry Container Runtime 0.28.0之前的版本可部署包含带有IAAS凭证的配置文件的k8s工作节点（worker node）。具备k8s节点访问权限的恶意攻击者可利用该漏洞获取IAAS凭据，提升权限,从而获得IAAS帐户权限。

<*来源：Swisscom
  
  链接：https://www.cloudfoundry.org/blog/cve-2019-3780/
*>

建议：

---

厂商补丁：

pivotal
-------
pivotal已经为此发布了一个安全公告（CVE-2019-3780）以及相应补丁:
CVE-2019-3780：Cloud Foundry Container Runtime Leaks IAAS Credentials
链接：https://www.cloudfoundry.org/blog/cve-2019-3780/

补丁下载：

浏览次数：1356
严重程度：0（网友投票）