Kubernetes社区公布了安全漏洞CVE-2021-25741,该漏洞可使攻击者使用软链接的方式在容器中挂载指定subPath配置的目录逃逸到主机敏感目录。本文介绍该漏洞的影响和影响范围,以及防范措施。

CVE-2021-25741漏洞被评估为高危漏洞,在CVSS的评分为8.8

影响范围

以下枚举的Kubernetes集群版本所安装的kubelet组件均存在该漏洞:
  • v1.22.0~v1.22.1
  • v1.21.0~v1.21.4
  • v1.20.0~v1.20.10
  • ≤v1.19.14
Kubernetes社区在以下版本修复了该漏洞:
  • v1.22.2
  • v1.21.5
  • v1.20.11
  • v1.19.15

关于该漏洞的详细信息,请参见#104980

漏洞影响

在多租户场景下,拥有以Root用户启动容器权限的恶意攻击者可以利用该漏洞逃逸至主机文件系统,获取主机敏感目录的读写权限。

防范措施

  • 遵循权限最小化原则收敛集群内分发的权限,请勿向非受信用户授予以Root用户启动容器的权限。
  • 关闭kubelet和kube-apiserver配置中VolumeSubPath特性门控,尽可能删除使用了该特性的已有Pod。