首页 时事 民生 政务 教育 文化 科技 财富 体娱 健康 情感
更多
旅行 百科 职场 楼市 企业 乐活 学术 汽车 时尚 创业 美食 幽默 美体 文摘

突发!Kubernetes披露最新安全漏洞

文摘   科技   2023-06-19 08:00   江苏  


编辑 | 阎锡叁

Kubernetes社区披露两起安全事件,涉及kube-apiserver组件,主要为准入插件的逃逸漏洞CVE-2023-2727及CVE-2023-2728,详细内容参见下文

CVE-2023-2727:  ImagePolicyWebhook准入插件的逃逸


CVSS评分: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N

在Kubernetes中发现了一个安全问题,当使用临时容器(即ephemeral container)时,用户能够绕过被ImagePolicyWebhook限制的镜像来启动容器。只有使用了ImagePolicyWebhook准入插件和临时容器的Kubernetes集群才会受到影响。

Am I vulnerable?

具备以下所有条件的集群,受该漏洞影响:
  1. 使用ImagePolicyWebhook准入插件限制某些镜像的使用
  2. Pod可以使用临时容器

Affected Versions

  • kube-apiserver v1.27.0 - v1.27.2

  • kube-apiserver v1.26.0 - v1.26.5

  • kube-apiserver v1.25.0 - v1.25.10

  • kube-apiserver <= v1.24.14

How do I mitigate this vulnerability?

上述漏洞可以通过社区提供的kube-apiserver补丁来避免,该补丁可以防止临时容器使用被ImagePolicyWebhook限制的镜像。

注意:还可以使用validate webhook方式(例如GatekeeperKyverno)来强制执行相同的镜像限制策略。

Fixed Versions

  • kube-apiserver v1.27.3

  • kube-apiserver v1.26.6

  • kube-apiserver v1.25.11

  • kube-apiserver v1.24.15

Detection

使用临时容器且镜像受限于ImagePolicyWebhook的 Pod 发出update的请求,会记录在apiserver的审计日志中。也可以使用 kubectl get pods 命令,查找上述容器。

Acknowledgements

这个漏洞是由Stanislav Láznička报告的,由Rita Zhang修复。


CVE-2023-2728: ServiceAccount准入插件的逃逸


CVSS评分:CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N

在Kubernetes中发现了一个安全问题,当使用临时容器(即ephemeral container)时,用户能够绕过ServiceAccount的限制来获取secret。只有使用了ServiceAccount准入插件且包含临时容器的的Pod的annotation有kubernetes.io/enforce-mountable-secrets 字段的Kubernetes集群才会受到影响。

Am I vulnerable?

具备以下所有条件的集群,受该漏洞影响:

  1. 使用了ServiceAccount准入插件。大多数集群默认开启,因为在https://kubernetes.io/docs/reference/access-authn-authz/admission-controllers/#serviceaccount中推荐使用该插件

  2. ServiceAccount的annotation字段包含kubernetes.io/enforce-mountable-secrets。此字段不是默认添加的

  3. Pod使用临时容器

Affected Versions

  • kube-apiserver v1.27.0 - v1.27.2

  • kube-apiserver v1.26.0 - v1.26.5

  • kube-apiserver v1.25.0 - v1.25.10

  • kube-apiserver <= v1.24.14

How do I mitigate this vulnerability?

上述漏洞可以通过社区提供的kube-apiserver补丁来避免,该补丁可以防止临时容器使用被ServiceAccount限制的secret。

Fixed Versions

  • kube-apiserver v1.27.3

  • kube-apiserver v1.26.6

  • kube-apiserver v1.25.11

  • kube-apiserver v1.24.15

Detection

使用临时容器且secret受限于ServiceAccount的 Pod 发出update的请求,会记录在apiserver的审计日志中。您还可以使用kubectl get pods查找。

由于笔者时间、视野、认知有限,本文难免出现错误、疏漏等问题,期待各位读者朋友、业界专家指正交流。


参考文献

   1. https://github.com/kubernetes/kubernetes/issues/118640



👇🏻 真诚推荐你关注👇🏻


 http://mp.weixin.qq.com/s?__biz=MzI1MzE0NTI0NQ==&mid=2650492848&idx=1&sn=4d3952633939c9836162e5bd36d77cf6
DCOS
CNCF 云原生基金会大使,CoreDNS 开源项目维护者。主要分享云原生技术、云原生架构、容器、函数计算等方面的内容,包括但不限于 Kubernetes,Containerd、CoreDNS、Service Mesh,Istio等等
 最新文章
超越C++:Ziglang 元编程一文打尽
Go程序员喜欢Ziglang?
比肩Rust?万字Ziglang项目实战
C的下一代替代语言:Ziglang 简明教程
容器干扰检测与治理(上篇)
RLIMIT_NOFILE设置陷阱:容器应用高频异常的元凶
解读Kubernetes常见退出码
探索Kubernetes 1.28调度器OOM的根源
CVE-2024-21626:runc容器逃逸漏洞
一条K8s命令行引发的血案
Rust vs. Zig:究竟谁更胜一筹?性能、安全性等全面对决!
ziglang30分钟速成
突发!Kubernetes生态社区披露最新安全漏洞
揭开K8s适配CgroupV2内存虚高的迷局
一次CNCF Sandbox申请引发的闹剧
揭秘容器启动缓慢的罪魁祸首
突发!Kubernetes披露最新安全漏洞
Kubernetes解决Noisy Neighbors场景的探索
和ChatGPT聊聊2023年的云原生发展|展望2023
携程MySQL迁移OceanBase最佳实践
K8s迁移cgroup v2的checklist
Containerd深度剖析-Diff上篇
Containerd深度剖析-CRI篇
K8s降本增效之成本优化篇
Containerd深度剖析-NRI篇
K8s降本增效之Descheduler篇
OCI容器与Wasm初体验
 分类
时事
民生
政务
教育
文化
科技
财富
体娱
健康
情感
旅行
百科
职场
楼市
企业
乐活
学术
汽车
时尚
创业
美食
幽默
美体
文摘
 原创标签
时事 社会 财经 军事 教育 体育 科技 汽车 科学 房产 搞笑 综艺 明星 音乐 动漫 游戏 时尚 健康 旅游 美食 生活 摄影 宠物 职场 育儿 情感 小说 曲艺 文化 历史 三农 文学 娱乐 电影 视频 图片 新闻 宗教 电视剧 纪录片 广告创意 壁纸头像 心灵鸡汤 星座命理 教育培训 艺术文化 金融财经 健康医疗 美妆时尚 餐饮美食 母婴育儿 社会新闻 工业农业 时事政治 星座占卜 幽默笑话 独立短篇 连载作品 文化历史 科技互联网
 发布位置
广东 北京 山东 江苏 河南 浙江 山西 福建 河北 上海 四川 陕西 湖南 安徽 湖北 内蒙古 江西 云南 广西 甘肃 辽宁 黑龙江 贵州 新疆 重庆 吉林 天津 海南 青海 宁夏 西藏 香港 澳门 台湾 美国 加拿大 澳大利亚 日本 新加坡 英国 西班牙 新西兰 韩国 泰国 法国 德国 意大利 缅甸 菲律宾 马来西亚 越南 荷兰 柬埔寨 俄罗斯 巴西 智利 卢森堡 芬兰 瑞典 比利时 瑞士 土耳其 斐济 挪威 朝鲜 尼日利亚 阿根廷 匈牙利 爱尔兰 印度 老挝 葡萄牙 乌克兰 印度尼西亚 哈萨克斯坦 塔吉克斯坦 希腊 南非 蒙古 奥地利 肯尼亚 加纳 丹麦 津巴布韦 埃及 坦桑尼亚 捷克 阿联酋 安哥拉