更新时间:2023-02-06 GMT+08:00

CVE-2020-13401的漏洞公告

华为云CCI团队已经于7月22日识别 Kubernetes 安全漏洞CVE-2020-13401并对其进行了详细分析,分析结论为:用户与CCI服务均不受本次漏洞的影响,无需进行处理

漏洞详情

Kubernetes官方发布安全漏洞CVE-2020-13401,CVSS Rating: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:L/I:L/A:L (6.0 Medium)。

漏洞源于IPv6动态分配除提供了IPv6的DHCP技术外,还支持Router Advertisement技术。路由器会定期向节点通告网络状态,包括路由记录。客户端会通过NDP进行自身网络配置。

恶意攻击者可以篡改主机上其他容器或主机本身的IPv6路由记录,实现中间人攻击。即使现在系统或者服务上没有直接使用IPv6地址进行网络请求通知,但是如果DNS返回了A(IPv4)和AAAA(IPv6)记录,许多HTTP库都会尝试IPv6进行连接,如果再回退到IPv4,这为攻击者提供了响应的机会。

参考链接:https://github.com/kubernetes/kubernetes/issues/91507

如何判断是否涉及漏洞

Kubernetes本身不受该漏洞影响,但Kubernetes所使用的CNI插件(请参阅containernetworking / plugins#484)会受影响,以下kubelet版本都包含了受影响的CNI插件服务:
  • kubelet v1.18.0~v1.18.3
  • kubelet v1.17.0~v1.17.6
  • kubelet<v1.16.11

漏洞分析结果

CCI服务不受本次漏洞影响,原因如下:

CCI当前集群基于Kubernetes 1.15版本,但未开启IPv6。所以CCI节点没有被攻击的风险。