更新时间:2023-08-02 GMT+08:00
Kubernetes安全漏洞公告(CVE-2022-3172)
漏洞详情
Kubernetes社区在 kube-apiserver 中发现了一个安全问题,该问题允许聚合 API Server将客户端流量重定向到任意 URL,这可能导致客户端执行意外操作以及将客户端的 API 服务器凭据转发给第三方。
漏洞类型 |
CVE-ID |
漏洞级别 |
披露/发现时间 |
---|---|---|---|
SSRF |
中 |
2022-09-09 |
漏洞影响
CCE受影响的版本:
- kube-apiserver <= v1.23.10
符合上述范围的CCE集群,且配置了聚合API Server的均受影响,尤其是将CCE集群在逻辑多租场景下使用风险较高。
判断方法
对于1.23及以下版本的CCE集群、CCE Turbo集群,使用web-terminal或者配置kubectl连接集群,运行以下命令,确认是否运行聚合API Server:
kubectl get apiservices.apiregistration.k8s.io -o=jsonpath='{range .items[?(@.spec.service)]}{.metadata.name}{"\n"}{end}'
若返回值非空,说明存在聚合API Server。
漏洞修复方案
除了升级之外,当前没有直接可用的缓解措施。集群管理员应注意控制权限,防止非受信人员通过APIService接口部署和控制聚合API Server。
该漏洞已在v1.23.5-r0、v1.21.7-r0、v1.19.16-r4版本的CCE集群中修复。
父主题: 漏洞公告