近日Kubernetes官方披露了kube-apiserver組件的安全性漏洞,攻擊者可以在某些情境下繞過Validating Admission Webhook的准入機制更新節點。本文介紹該漏洞的影響和影響範圍,以及防範措施。
影響範圍
該漏洞僅影響使用了Validating Admission Webhook,並且該Webhook會依賴節點更新前原狀態的某些欄位進行准入校正的叢集。
以下枚舉的kube-apiserver版本均包含該漏洞:
- kube-apiserver v1.20.0~v1.20.5
- kube-apiserver v1.19.0~v1.19.9
- kube-apiserver<=v1.18.17
該漏洞的修複版本為:
- kube-apiserver v1.21.0
- kube-apiserver v1.20.6
- kube-apiserver v1.19.10
- kube-apiserver v1.18.18
漏洞影響
說明
- 如果您的叢集使用預設配置,沒有擴充新的Validating Admission Webhook,不在該漏洞影響範圍內。
- 叢集預設的NodeRestriction准入外掛程式不在該漏洞的影響範圍內。
如果您的叢集中存在使用Validating Admission機制進行節點更新准入校正的Webhook,並且該Webook的准入依賴節點原狀態的某些欄位,則攻擊者可以通過某些手段繞過准入校正完成對節點執行個體模型的修改。
防範措施
如果叢集存在上述所描述的影響範圍內的Validating Admission Webhook,在叢集升級到修複版本前無法保證現有準入機制的安全性,請通過RBAC授權管理等其他途徑限制對Node節點的更新許可權。具體操作,請參見配置RAM使用者或RAM角色RBAC許可權。