Komunitas Kubernetes baru-baru ini menemukan kerentanan CVE-2022-3172. Penyerang dapat memanfaatkan server API agregat untuk mengarahkan lalu lintas klien ke URL tertentu, yang berpotensi menyebabkan peningkatan hak istimewa atau kebocoran informasi sensitif.
CVE-2022-3172 dinilai memiliki tingkat keparahan sedang dengan skor Common Vulnerability Scoring System (CVSS) sebesar 5.1.
Versi yang terpengaruh
Versi kube-apiserver berikut terkena dampak:
- v1.25.0
- v1.24.0 hingga v1.24.4
- v1.23.0 hingga v1.23.10
- v1.22.0 hingga v1.22.13
- ≤ v1.21
Kerentanan ini telah diperbaiki dalam versi kube-apiserver berikut:
- v1.25.1
- v1.24.5
- v1.23.11
- v1.22.14
Dampak
Penyerang dengan izin baca dan tulis pada objek APIService dapat memanfaatkan server API agregat untuk mengarahkan lalu lintas klien ke URL tertentu, yang dapat menyebabkan peningkatan hak istimewa atau kebocoran informasi sensitif.
Mitigasi
- Pastikan hanya pengguna tepercaya yang memiliki izin baca dan tulis pada objek
APIService. Hal ini mencegah pengguna tidak tepercaya mengontrol server API agregat melalui objekAPIService.Catatan Tidak ada mitigasi langsung untuk kerentanan ini. Kami menyarankan agar Anda tidak memberikan akses kepada pengguna tidak tepercaya ke server API agregat, termasuk izin baca dan tulis pada objek APIService. - Perhatikan catatan rilis ACK dan perbarui kluster Anda sesegera mungkin untuk menangani kerentanan ini.