CVE-2020-8559的漏洞公告
华为云CCI团队已经于7月22日识别Kubernetes 安全漏洞CVE-2020-8559并对其进行了详细分析,分析结论为:用户与CCI服务均不受本次漏洞的影响,无需进行处理。
漏洞详情
近日Kubernetes官方披露了kube-apiserver组件的安全漏洞CVE-2020-8559,CVSS Rating: Medium (6.4) CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:H。攻击者可以通过截取某些发送至节点kubelet的升级请求,通过请求中原有的访问凭据转发请求至其它目标节点,攻击者可利用该漏洞提升权限。
如何判断是否涉及漏洞
使用了受影响的集群版本
- kube-apiserver v1.18.0-1.18.5
- kube-apiserver v1.17.0-1.17.8
- kube-apiserver v1.16.0-1.16.12
- all kube-apiserver versions prior to v1.16.0
漏洞分析结果
CCI服务不受本次漏洞影响,原因如下:
CCI当前集群基于Kubernetes 1.15版本,容器网络基于用户VPC,任何用户无法访问节点,也无法拦截kubelet请求。因此节点没有被攻击的风险。