更新时间:2022-11-11 GMT+08:00
CVE-2020-13401的漏洞公告
华为云CCI团队已经于7月22日识别 Kubernetes 安全漏洞CVE-2020-13401并对其进行了详细分析,分析结论为:用户与CCI服务均不受本次漏洞的影响,无需进行处理。
漏洞详情
Kubernetes官方发布安全漏洞CVE-2020-13401,CVSS Rating: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:L/I:L/A:L (6.0 Medium)。
漏洞源于IPv6动态分配除提供了IPv6的DHCP技术外,还支持Router Advertisement技术。路由器会定期向节点通告网络状态,包括路由记录。客户端会通过NDP进行自身网络配置。
恶意攻击者可以篡改主机上其他容器或主机本身的IPv6路由记录,实现中间人攻击。即使现在系统或者服务上没有直接使用IPv6地址进行网络请求通知,但是如果DNS返回了A(IPv4)和AAAA(IPv6)记录,许多HTTP库都会尝试IPv6进行连接,如果再回退到IPv4,这为攻击者提供了响应的机会。
如何判断是否涉及漏洞
Kubernetes本身不受该漏洞影响,但Kubernetes所使用的CNI插件(请参阅containernetworking / plugins#484)会受影响,以下kubelet版本都包含了受影响的CNI插件服务:
- kubelet v1.18.0~v1.18.3
- kubelet v1.17.0~v1.17.6
- kubelet<v1.16.11
漏洞分析结果
CCI服务不受本次漏洞影响,原因如下:
CCI当前集群基于Kubernetes 1.15版本,但未开启IPv6。所以CCI节点没有被攻击的风险。
父主题: 漏洞修复公告
