近日Kubernetes官方披露了Java客户端的相关漏洞,攻击者可以利用指定的特殊YAML模板进行代码执行攻击。本文介绍该漏洞的影响范围和防范措施。

CVE-2021-25738漏洞在CVSS的评分为6.7

影响范围

下列版本的官方Java客户端都包含该漏洞:

  • Kubernetes Java Client=v12.0.0
  • Kubernetes Java Client≤v11.0.1
  • Kubernetes Java Client≤v10.0.1
  • Kubernetes Java Client≤v9.0.2

社区在下列版本修复了该漏洞:

  • Kubernetes Java Client master:1676
  • Kubernetes Java Client≥v12.0.1:1691
  • Kubernetes Java Client≥v11.0.2:1692

防范措施

在应用中,使用官方推荐的修复版本Java客户端访问集群。关于漏洞的更多信息,请参见 1698