Kubernetesコミュニティは最近、secrets-store-csi-driverプラグインの脆弱性CVE-2023-2878を発見しました。 csi-secrets-store-provider-alibabacloudなどのsecrets-store-csi-driverに基づいて開発されたSecret同期コンポーネントがクラスターで実行され、シークレットストアからシークレットを取得する場合、コンポーネントログにアクセスできる攻撃者は、コンポーネントで使用されるサービスアカウントトークンを取得できます。 攻撃者は、これらのサービスアカウントトークンを悪用して、クラウド上のキー管理サービス (KMS) に保存されているシークレットにアクセスできます。
CVE-2023-2878は中程度の重症度と評価され、その共通脆弱性スコアリングシステム (CVSS) スコアは6.5である。 脆弱性の詳細については、「 #118419」をご参照ください。
影響を受けるバージョン
この脆弱性は、次の条件をすべて満たすクラスターに影響します。
csi-secrets-store-provider-alibabacloudなどのSecret同期コンポーネントは、1.3.3より前のsecrets-store-csi-driverバージョンに基づいて開発されています。
Secret同期コンポーネントは、TokenRequest機能を使用します。
-vフラグは、Secret同期コンポーネントがログレベル2以上で実行されるように設定されています。
この脆弱性は、Kubernetesコミュニティによってsecrets-store-csi-driver 1.3.3以降のバージョンで修正されました。
解決策
CVE-2023-2878はcsi-secrets-store-provider-alibabacloud 0.2.0で修正されています。 Container Service for Kubernetes (ACK) コンソールにログインし、Marketplaceページに移動して、csi-secrets-store-provider-alibabacloudコンポーネントを0.2.0に更新します。