近期,Fluid社區披露了安全性漏洞CVE-2023-51699。攻擊者在獲得建立和修改Dataset和JuiceFSRuntime許可權的前提下,通過修改其CRD資源,可能對JuiceFSRuntime所部署的工作節點產生潛在的提權安全風險。CVE-2023-51699漏洞被評估為中危漏洞,CVSS的評分為4.0。
影響範圍
叢集的ack-fluid組件版本低於v1.0.6,且同時使用了JuicefsRuntime,將會在該漏洞的影響範圍內。
漏洞影響
如果攻擊者獲得了建立或者更新Dataset和JuiceFSRuntime的許可權,他們可能未被授權即可獲得某個特定Kubernetes工作節點的存取權限。
解決方案
將叢集的ack-fluid組件升級至v1.0.7及以上版。關於如何升級ack-fluid組件,請參見【組件升級】雲原生AI套件ack-fluid組件升級公告。
防範措施
避免提供公網訪問ACK叢集的方式。如需精準地訪問並控制API Server,請參見配置叢集API Server的存取控制策略。
對ACK叢集基於RAM和RBAC進行精細化授權,確保只有可信使用者才能建立Fluid的自訂資源。詳細資料,請參見配置RAM使用者或RAM角色RBAC許可權。
通過使用ACK的叢集API Server審計功能來監測不正常的Dataset的建立行為。