Komunitas Kubernetes baru-baru ini menemukan kerentanan CVE-2024-3177. Kerentanan ini memungkinkan penyerang mengabaikan kebijakan keamanan Secret yang dapat dipasang, diberlakukan oleh plug-in admission ServiceAccount, dengan menggunakan bidang envFrom dalam konfigurasi kontainer beban kerja. Kerentanan ini dapat menyebabkan kebocoran informasi sensitif. Tingkat keparahan kerentanan CVE-2024-3177 dinilai rendah dengan skor Common Vulnerability Scoring System (CVSS) sebesar 2,7. Untuk informasi lebih lanjut tentang kerentanan ini, lihat #124336.
Versi yang terpengaruh
Versi berikut dari kube-apiserver terpengaruh:
1.29.0 hingga 1.29.3
1.28.0 hingga 1.28.8
≤ 1.27.12
Kerentanan ini diperbaiki dalam versi berikut:
1.29.4
1.28.9
1.27.13
Komponen default yang diinstal dalam kluster Container Service for Kubernetes (ACK) tidak terpengaruh oleh kerentanan ini. Namun, kluster ACK akan terpengaruh jika beban kerja dalam kluster memenuhi kondisi berikut:
Kontainer, init kontainer, atau ephemeral kontainer dari beban kerja menggunakan bidang
envFromuntuk memasang Secrets.Beban kerja menggunakan ServiceAccount yang memiliki anotasi
kubernetes.io/enforce-mountable-secrets. Jalankan perintah berikut untuk mengidentifikasi ServiceAccounts yang mungkin menimbulkan risiko potensial dalam kluster.kubectl get serviceaccounts --all-namespaces -o jsonpath="{range .items[?(@.metadata.annotations['kubernetes\.io/enforce-mountable-secrets']=='true')]}{.metadata.namespace}{'\t'}{.metadata.name}{'\n'}{end}"
Solusi
Anda dapat mengaktifkan fitur audit kluster server API untuk mengidentifikasi pembaruan tak terduga pada bidang envFrom dalam pod. Untuk informasi lebih lanjut, lihat Bekerja dengan Audit Kluster.