文档首页/ 云容器引擎 CCE_Autopilot集群/ 服务公告/ 漏洞公告/ Kubernetes安全漏洞公告(CVE-2024-10220)
更新时间:2025-03-26 GMT+08:00
分享

Kubernetes安全漏洞公告(CVE-2024-10220)

Kubernetes社区近日公布了一个安全漏洞(CVE-2024-10220),该漏洞使得具有创建Pod权限的攻击者能够通过部署配置了gitRepo卷的Pod来执行容器外的任意命令。攻击者可以利用目标Git仓库中的钩子(hooks)目录,实现容器逃逸并执行攻击命令。

漏洞详情

表1 漏洞信息

漏洞类型

CVE-ID

漏洞级别

披露/发现时间

容器逃逸

CVE-2024-10220

2024-11-22

漏洞影响

受影响的CCE Autopilot集群版本如下:

  • v1.27.0-r0-v1.27.8-r0
  • v1.28.0-r0-v1.28.6-r0

判断方法

登录CCE控制台,单击集群名称进入集群概览页面,查看集群版本。

图1 集群版本

  • 如果集群版本不在上述范围内则不受漏洞影响。
  • 如果集群版本在受影响范围内,您可以通过以下命令,检查集群中是否存在该漏洞被利用的情况。

    该命令会列举所有挂载使用了gitRepo类型的存储卷,并将仓库克隆到.git子目录的Pod中。

     kubectl get pods --all-namespaces -o yaml | grep gitRepo -A 2

    如果返回中不存在gitRepo配置则不受漏洞影响。

漏洞修复方案

  • 当前CCE Autopilot集群已修复该漏洞,请及时将集群升级至漏洞修复版本。已EOS集群版本请升级到在维版本进行修复。

    已修复集群版本:v1.27.9-r0,v1.28.7-r0及以上版本。

  • 由于gitRepo存储卷已被弃用,社区建议的解决方案是使用initContainers容器执行Git克隆操作,然后将目录挂载至Pod容器中,请参见社区示例

相关文档