Fluidコミュニティは最近、脆弱性CVE-2023-51699を発見しました。 攻撃者は、データセットとJuiceFSRuntimeを作成および変更する権限を取得すると、CustomResourceDefinitions (CRD) を変更して、JuiceFSRuntimeがデプロイされているノードで特権エスカレーションを開始できます。 CVE-2023-51699脆弱性は中程度の重大度と評価され、共通脆弱性スコアリングシステム (CVSS) スコアは4.0です。
影響を受けるバージョン
ack-fluid 1.0.6以前を使用し、JuicefsRuntimeを同時に使用するクラスターが影響を受けます。
影響
攻撃者がデータセットとJuiceFSRuntimeを作成および変更する権限を取得すると、許可なくKubernetesワーカーノードにアクセスできる可能性があります。
解決策
クラスターのack-fluidコンポーネントをv1.0.7以降に更新します。 ack-fluidの更新方法の詳細については、「 [コンポーネントの更新] ack-fluidの更新」をご参照ください。
どのように防ぐ
インターネット経由でACKクラスターにアクセスしないでください。 詳細なトレーニングを受けた方法でAPIサーバーへのアクセスを制御する方法の詳細については、「ACKクラスターのAPIサーバーのネットワークACLの構成」をご参照ください。
クラスターでRAM (Resource Access Management) とRBAC (Role-Based Access Control) を使用して権限制御を実施する場合は、信頼できるユーザーのみがカスタムFluidリソースを作成できるようにしてください。 詳細については、「RAMユーザーまたはRAMロールへのRBAC権限の付与」をご参照ください。
Container Service for Kubernetes (ACK) のAPIサーバー監査機能を使用して、異常なデータセット作成操作を監視します。