Kubernetes 镜像生成器存在严重漏洞,导致节点面临 Root 访问风险
时间:2024-10-22 21:35 作者:之参博客 分类: 网络相关
Kubernetes Image Builder 中披露了一个严重的安全漏洞,如果成功利用,可能会在某些情况下被滥用来获取 root 访问权限。
该漏洞编号为CVE-2024-9486(CVSS 评分:9.8),已在 0.1.38 版本中得到解决。项目维护人员感谢 Nicolai Rybnikar 发现并报告了该漏洞。
Red Hat 的 Joel Smith在警报中表示: “在 Kubernetes Image Builder 中发现了一个安全问题,在映像构建过程中启用了默认凭据。”
“此外,使用 Proxmox 提供程序构建的虚拟机映像不会禁用这些默认凭据,并且使用生成的映像的节点可以通过这些默认凭据访问。这些凭据可用于获取 root 访问权限。”
话虽如此,只有当 Kubernetes 集群的节点使用通过 Image Builder 项目与 Proxmox 提供程序创建的虚拟机 (VM) 映像时,集群才会受到该漏洞的影响。
作为临时缓解措施,建议禁用受影响虚拟机上的构建器帐户。还建议用户使用固定版本的 Image Builder 重建受影响的映像并将其重新部署到虚拟机上。
Kubernetes 团队实施的修复措施是,在镜像构建期间,随机生成密码,不再使用默认凭据。此外,在镜像构建过程结束时,构建者帐户将被禁用。
Kubernetes Image Builder 版本 0.1.38 还解决了使用 Nutanix、OVA、QEMU 或原始提供程序创建映像构建时默认凭据的相关问题(CVE-2024-9594,CVSS 分数:6.3)。
CVE-2024-9594 的严重性较低,这是因为使用这些提供程序构建的映像的虚拟机仅会受到影响,“如果攻击者能够到达正在构建映像的虚拟机,并利用漏洞在构建映像时修改映像”。
微软发布了针对 Dataverse、Imagine Cup 和 Power Platform 三个严重漏洞的服务器端补丁,这些漏洞可能导致权限提升和信息泄露 -
CVE-2024-38139(CVSS 评分:8.7)——Microsoft Dataverse 中的不正确身份验证允许授权攻击者通过网络提升权限
CVE-2024-38204(CVSS 评分:7.5)——Imagine Cup 中的不当访问控制允许授权攻击者通过网络提升权限
CVE-2024-38190(CVSS 评分:8.6)- Power Platform 中缺少授权,允许未经身份验证的攻击者通过网络攻击媒介查看敏感信息
此前,Apache Solr 开源企业搜索引擎 (CVE-2024-45216,CVSS 评分:9.8) 中也披露了一个严重漏洞,该漏洞可能为易受攻击实例上的身份验证绕过铺平道路。
GitHub 针对该漏洞的公告指出: “任何 Solr API URL 路径末尾的伪造结尾将允许请求跳过身份验证,同时保持与原始 URL 路径的 API 契约。这个伪造结尾看起来像一个不受保护的 API 路径,但它在身份验证之后但在 API 路由之前在内部被剥离。”
该问题影响 Solr 8.11.4 之前的 5.3.0 版本以及 9.7.0 之前的 9.0.0 版本,已分别在 8.11.4 和 9.7.0 版本中得到修复。
标签: 漏洞 Root Kubernetes