Bug 14189

Summary: [CVE 21] kubernetes 1.25.15 CVE
Product: [ROSA-based products] ROSA Fresh Reporter: Vladimir Potapov <v.potapov>
Component: Packages from MainAssignee: ROSA Linux Bugs <bugs>
Status: VERIFIED FIXED QA Contact: ROSA Linux Bugs <bugs>
Severity: blocker    
Priority: Highest CC: a.proklov, pastordidi, survolog
Version: AllFlags: v.potapov: qa_verified+
v.potapov: secteam_verified?
a.proklov: published+
Target Milestone: ---   
Hardware: All   
OS: Linux   
URL: CVE-2023-5528
Whiteboard:
Platform: --- ROSA Vulnerability identifier:
RPM Package: ISO-related:
Bad POT generating: Upstream:

Description Vladimir Potapov 2023-12-29 15:43:54 MSK 
https://nvd.nist.gov/vuln/detail/CVE-2020-8554 exploit!
Comment 1 Grigorev Andrey 2024-01-11 13:04:33 MSK 
https://github.com/kubernetes/kubernetes/issues/97076 - тут начало.
https://github.com/kubernetes/kubernetes/issues/97110 - тут написано, что исправить нельзя, и что вопрос купирован (?) последующим:
https://github.com/kubernetes/kubernetes/pull/97395 - вошёл в ветку 1.25:
https://github.com/kubernetes/kubernetes/commits/release-1.25/?after=88e994f6bf8fc88114c5b733e09afea339bea66d+13805
Comment 2 Grigorev Andrey 2024-01-11 13:07:11 MSK 
(In reply to Grigorev Andrey from comment #1)
> вошёл в ветку 1.25:
более 4-х лет назад.
Релиз 1.25.15 - https://github.com/kubernetes/kubernetes/releases/tag/v1.25.15 - прошлого года.
Comment 3 Vladimir Potapov 2024-01-15 10:41:57 MSK 
Но при этом в журнале изменений не значится исправление этого CVE
https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG/CHANGELOG-1.25.md
Comment 4 Aleksandr Proklov 2024-01-15 11:04:35 MSK 
https://github.com/kubernetes/kubernetes/issues/97110

>Для CVE-2020-8554, № 97076 мы решили, что не можем исправить его в дереве,
> и вместо этого предоставили обходные пути для отключения (или внесения
> в список разрешенных) этой функции через элементы управления доступом.
Comment 6 Vladimir Potapov 2024-01-15 11:27:54 MSK 
В базе https://nvd.nist.gov/vuln/detail/CVE-2020-8554 к сожалению эта версия считается уязвимой. По ней ориентируются проверяющие. 
Есть еще где-нибудь описание, что CVE устранена?
Comment 7 Aleksandr Proklov 2024-01-15 11:43:46 MSK 
https://bugzilla.rosalinux.ru/show_bug.cgi?id=14189#c4

я русский перевод дал! она не устранена и не будет устранена. Админы сами должны ее исправлять если нужно.
Comment 8 Vladimir Potapov 2024-01-15 11:52:34 MSK 
(In reply to Aleksandr Proklov from comment #7)
> https://bugzilla.rosalinux.ru/show_bug.cgi?id=14189#c4
> 
> я русский перевод дал! она не устранена и не будет устранена. Админы сами
> должны ее исправлять если нужно.
А ниже "закрыта обновлением версии" :-)
Хорошо, понял
Comment 9 Aleksandr Proklov 2024-01-15 12:28:02 MSK 
>А ниже "закрыта обновлением версии" :-)

номер CVE которая закрыта - другой!!!
Comment 10 Vladimir Potapov 2024-01-15 12:40:06 MSK 
(In reply to Aleksandr Proklov from comment #9)
> >А ниже "закрыта обновлением версии" :-)
> 
> номер CVE которая закрыта - другой!!!
Ох, теперь понял.
Comment 11 Dmitry Postnikov 2024-01-26 11:42:09 MSK 
(In reply to Aleksandr Proklov from comment #5)
> CVE-2023-5528 закрыта обновлением версии
> 
> kubernetes-1.25.16-1
> 
> https://abf.rosalinux.ru/build_lists/4955630
> https://abf.rosalinux.ru/build_lists/4955631 х64
> https://abf.rosalinux.ru/build_lists/4955632
> https://abf.rosalinux.ru/build_lists/4955633
> https://abf.rosalinux.ru/build_lists/4955634

****************************************
Обновление опубликованно в Тестинг

У архитектур riscv64, e2kv4 - ошибка сборки
Comment 12 Vladimir Potapov 2024-01-31 11:25:02 MSK 
kubernetes-1.25.16-1
https://abf.rosalinux.ru/build_lists/4955630
https://abf.rosalinux.ru/build_lists/4955631 х64
https://abf.rosalinux.ru/build_lists/4955632
https://abf.rosalinux.ru/build_lists/4955633
https://abf.rosalinux.ru/build_lists/4955634
************************** Advisory **************************
CVE-2023-5528 fix by version update
**************************************************************
QA Verified