文档首页/ 云容器引擎 CCE/ 服务公告/ 漏洞公告/ Kubernetes安全漏洞公告(CVE-2022-3172)
更新时间:2023-08-02 GMT+08:00

Kubernetes安全漏洞公告(CVE-2022-3172)

漏洞详情

Kubernetes社区在 kube-apiserver 中发现了一个安全问题,该问题允许聚合 API Server将客户端流量重定向到任意 URL,这可能导致客户端执行意外操作以及将客户端的 API 服务器凭据转发给第三方。

表1 漏洞信息

漏洞类型

CVE-ID

漏洞级别

披露/发现时间

SSRF

CVE-2022-3172

2022-09-09

漏洞影响

CCE受影响的版本:

  • kube-apiserver <= v1.23.10

符合上述范围的CCE集群,且配置了聚合API Server的均受影响,尤其是将CCE集群在逻辑多租场景下使用风险较高。

判断方法

对于1.23及以下版本的CCE集群、CCE Turbo集群,使用web-terminal或者配置kubectl连接集群,运行以下命令,确认是否运行聚合API Server:

kubectl get apiservices.apiregistration.k8s.io -o=jsonpath='{range .items[?(@.spec.service)]}{.metadata.name}{"\n"}{end}'

若返回值非空,说明存在聚合API Server。

漏洞修复方案

除了升级之外,当前没有直接可用的缓解措施。集群管理员应注意控制权限,防止非受信人员通过APIService接口部署和控制聚合API Server。

该漏洞已在v1.23.5-r0v1.21.7-r0v1.19.16-r4版本的CCE集群中修复。