Komunitas Kubernetes telah mengungkapkan kerentanan keamanan ini. Penyerang tanpa otentikasi dapat mengirim permintaan checkpoint kontainer berlebihan ke port HTTP hanya-baca kubelet, dengan cepat menghabiskan ruang disk dan memungkinkan serangan penolakan layanan (DoS) terhadap node kluster.
Kerentanan ini dinilai memiliki tingkat keparahan sedang dengan skor Common Vulnerability Scoring System (CVSS) sebesar 6,4. Untuk informasi lebih lanjut, lihat #130016.
Ruang lingkup yang terpengaruh
Kluster hanya terpengaruh jika kedua kondisi berikut terpenuhi:
Port HTTP hanya-baca kubelet diaktifkan.
Runtime kontainer mendukung fitur checkpoint kontainer. Ini mencakup konfigurasi seperti CRI-O v1.25.0+ dengan
enable_criu_supportdisetel ketrue, atau containerd v2.0+ dengancriuterinstal.
Kluster ACK secara default tidak terpengaruh:
Antarmuka checkpoint tidak didukung dalam konfigurasi runtime node default ACK.
Port HTTP hanya-baca tanpa otentikasi kubelet dinonaktifkan secara default.
Versi rentan
kubelet v1.32.0 - v1.32.1
kubelet v1.31.0 - v1.31.5
kubelet v1.30.0 - v1.30.9
Versi yang diperbaiki
kubelet master
kubelet v1.32.2
kubelet v1.31.6
kubelet v1.30.10
kubelet v1.29.14
Kubelet v1.25 hingga v1.29 memiliki antarmuka checkpoint kontainer dinonaktifkan secara default sebagai fitur alpha dan tidak terpengaruh.
Pendeteksian
Tanda-tanda potensi eksploitasi meliputi:
Lonjakan permintaan ke antarmuka
/checkpointpada port HTTP hanya-baca kubelet.Jumlah besar file checkpoint di jalur direktori default
/var/lib/kubelet/checkpointspada node.
Mitigasi
Jika kluster Anda menggunakan konfigurasi non-default untuk kubelet atau runtime, terapkan langkah-langkah berikut:
Secara terus-menerus memantau penggunaan disk pada node kluster.
Nonaktifkan gerbang fitur ContainerCheckpoint pada node untuk kubelet.
Nonaktifkan port HTTP hanya-baca tanpa otentikasi kubelet.