文档首页/ 云容器引擎 CCE/ 服务公告/ 漏洞公告/ Kubernetes kube-apiserver输入验证错误漏洞公告(CVE-2020-8559)
更新时间:2024-01-27 GMT+08:00

Kubernetes kube-apiserver输入验证错误漏洞公告(CVE-2020-8559)

漏洞详情

Kubernetes官方披露了kube-apiserver组件的安全漏洞,攻击者可以通过截取某些发送至节点kubelet的升级请求,通过请求中原有的访问凭据转发请求至其它目标节点,攻击者可利用该漏洞提升权限。本文介绍该漏洞的影响范围、漏洞影响和防范措施。

表1 漏洞信息

漏洞类型

CVE-ID

漏洞级别

披露/发现时间

其它

CVE-2020-8559

2020-07-15

漏洞影响

由于kube-apiserver中在升级请求的代理后端中允许将请求传播回源客户端,攻击者可以通过截取某些发送至节点kubelet的升级请求,通过请求中原有的访问凭据转发请求至其他目标节点,从而造成被攻击节点的权限提升漏洞。该漏洞为中危漏洞,CVSS评分为6.4

如果有多个集群共享使用了相同的CA和认证凭证,攻击者可以利用此漏洞攻击其他集群,这种情况下该漏洞为高危漏洞。

对于此次漏洞的跨集群攻击场景,CCE集群使用了独立签发的CA,同时不同集群间认证凭据完全隔离,跨集群场景不受影响。

从v1.6.0之后到下列修复版本的所有kube-apiserver组件均包含漏洞代码:

  • kube-apiserver v1.18.6
  • kube-apiserver v1.17.9
  • kube-apiserver v1.16.13

下列应用场景在此次漏洞的影响范围内:

  • 如果集群运行业务中存在多租户场景,且以节点作为不同租户间隔离的安全边界。
  • 不同集群间共享使用了相同的集群CA和认证凭据。

漏洞修复方案

对于集群内跨节点的攻击,建议您采取以下安全防范措施:

  • 请妥善保管认证凭据。
  • 授权子账号遵循权限最小化原则,通过设置RBAC权限,限制不必要的pods/exec、pods/attach、pods/portforward和proxy类型的资源访问。