Komunitas Kubernetes menemukan kerentanan CVE-2024-10220. Kerentanan ini memungkinkan pengguna dengan izin untuk membuat pod dan mengaitkan volume gitRepo menjalankan perintah arbitrer di luar batasan kontainer. Penyerang dapat memanfaatkan folder hooks di repositori Git target untuk mengeksekusi perintah arbitrer di luar kontainer, sehingga memungkinkan serangan injeksi perintah.
Kerentanan CVE-2024-10220 memiliki tingkat keparahan tinggi dengan skor Common Vulnerability Scoring System (CVSS) sebesar 8,1. Untuk informasi lebih lanjut mengenai kerentanan ini, lihat #128885.
Versi yang terpengaruh
Versi kubelet berikut terpengaruh oleh kerentanan ini:
v1.30.0 hingga v1.30.2
v1.29.0 hingga v1.29.6
v1.28.11 dan sebelumnya
Kerentanan ini diperbaiki dalam versi berikut:
v1.31.0
v1.30.3
v1.29.7
v1.28.12
Pendeteksian kerentanan
Gunakan perintah berikut untuk memeriksa apakah kerentanan ini telah dieksploitasi di kluster Anda.
Perintah ini mencantumkan semua Pod yang telah memasang volume bertipe gitRepo dan melakukan kloning repositori ke subdirektori .git di dalam Pod.
kubectl get pods --all-namespaces -o json | jq '.items[] | select(.spec.volumes[]?.gitRepo? != null) | {name: .metadata.name, namespace: .metadata.namespace}'Solusi
Karena tipe volume gitRepo sudah tidak digunakan lagi, komunitas merekomendasikan menggunakan init container untuk melakukan operasi Git clone dan memuat direktori tersebut ke dalam kontainer yang menjalankan pod. Untuk informasi lebih lanjut, lihat contoh.
Dengan mengaktifkan kebijakan pustaka aturan kebijakan keamanan Kontainer di tata kelola kebijakan, Anda dapat membatasi Pod yang dideploy dalam cakupan tertentu di Kluster agar tidak menggunakan jenis volume tertentu, seperti volume gitRepo. Langkah ini mencegah penyerang mengeksploitasi volume gitRepo.
Kami merekomendasikan Anda memperhatikan pengumuman ACK terkait dan memperbarui node pool secara tepat waktu. Untuk informasi lebih lanjut, lihat Perbarui node pool.