Kubernetesのkube-apiserverで脆弱性が発見され、一部のシナリオでは、ノードの更新が検証許可webhookをバイパスする可能性があります。 このトピックでは、この脆弱性の影響を受けるkube-apiserverのバージョンについて説明します。 このトピックでは、この脆弱性の影響と修正についても説明します。
CVE-2021-25735の脆弱性は中程度と評価され、脆弱性の共通脆弱性スコアリングシステム (CVSS) スコアは3.0です。
影響を受けるバージョン
検証許可webhookを使用するKubernetesクラスターのみが影響を受けます。 承認ウェブフックの検証は、ノード更新前の特定のフィールドの元の値に依存する。
次のkube-apiserverバージョンは、この脆弱性の影響を受けます。
- kube-apiserver v1.20.0からv1.20.5
- kube-apiserver v1.19.0からv1.19.9
- kube-apiserver<=v1.18.17
この脆弱性は次のkube-apiserverバージョンで修正されます:
- kube-apiserver v1.21.0
- kube-apiserver v1.20.6
- kube-apiserver v1.19.10
- kube-apiserver v1.18.18
影響
説明
- クラスターがデフォルト設定を使用し、新しい検証許可webhookが使用されていない場合、クラスターはこの脆弱性の影響を受けません。
- デフォルトのNodeRestriction承認プラグインは、この脆弱性の影響を受けません。
ノード更新の検証承認メカニズムを使用するwebhookがクラスターに存在し、ノード更新前の特定のフィールドの元の値にwebhookの承認が依存している場合、攻撃者は検証承認webhookをバイパスしてノードのプロパティを変更できます。
修正
前述の検証許可webhookがクラスターに存在する場合、クラスターをパッチバージョンにアップグレードする前に、検証許可メカニズムを保護することはできません。 ロールベースのアクセス制御 (RBAC) 権限を管理して、ノードの更新に対する権限を制御します。 詳細については、「RAMユーザーまたはRAMロールへのRBAC権限の付与」をご参照ください。