漏洞描述
据报道,Kubevirt / virt-cdi-importer,版本1.4.0到1.5.3,在从容器注册表导入PVC时禁用TLS证书验证。这可以实现容器注册表和virt-cdi-component之间的中间人攻击,从而可a S 9能导致未被检测到的对可信容器图像内容的篡改。
基本信息
CVE编号: CVE-2019-3841
漏洞类型: 未知
危险等M e 8 k 2 _级: 高危
披露时R } G F L @ N间: 2019-03-25
cvss3评分:6.8
cvss3因子:CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:N
修复建议
参考链接
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-V E 6 V L E3841
hj ) X ] B M T h ]ttps://github.com/kubevirt/containerized-data-importer/issues/678