近日Kubernetes官方披露了kube-apiserver组件的安全漏洞,攻击者可以在某些场景下绕过Validating Admission Webhook的准入机制更新节点。本文介绍该漏洞的影响和影响范围,以及防范措施。

CVE-2021-25735漏洞评级为中危漏洞,CVSS漏洞评分为3.0。

影响范围

该漏洞仅影响使用了Validating Admission Webhook,并且该Webhook会依赖节点更新前原状态的某些字段进行准入校验的集群。

以下枚举的kube-apiserver版本均包含该漏洞:

  • kube-apiserver v1.20.0~v1.20.5
  • kube-apiserver v1.19.0~v1.19.9
  • kube-apiserver<=v1.18.17

该漏洞的修复版本为:

  • kube-apiserver v1.21.0
  • kube-apiserver v1.20.6
  • kube-apiserver v1.19.10
  • kube-apiserver v1.18.18

漏洞影响

说明
  • 如果您的集群使用默认配置,没有扩展新的Validating Admission Webhook,不在该漏洞影响范围内。
  • 集群默认的NodeRestriction准入插件不在该漏洞的影响范围内。

如果您的集群中存在使用Validating Admission机制进行节点更新准入校验的Webhook,并且该Webook的准入依赖节点原状态的某些字段,则攻击者可以通过某些手段绕过准入校验完成对节点实例模型的修改。

防范措施

如果集群存在上述所描述的影响范围内的Validating Admission Webhook,在集群升级到修复版本前无法保证现有准入机制的安全性,请通过RBAC授权管理等其他途径限制对Node节点的更新权限。具体操作,请参见配置RAM用户RBAC权限