Kubernetesコミュニティが最近発見した脆弱性CVE-2022-3172。 攻撃者は、集約APIサーバーを使用して、クライアントトラフィックをカスタムURLにリダイレクトできます。 これは、特権のエスカレーションまたは機密情報の漏洩につながる可能性があります。
CVE-2022-3172は中程度の重症度と評価されます。 この脆弱性の共通の脆弱性のスコアリングシステム (CVSS) のスコアは5.1です。
影響を受けるバージョン
次のkube-apiserverバージョンが影響を受けます。
- v1.25.0
- v1.24.0~v1.24.4
- v1.23.0~v1.23.10
- v1.22.0~v1.22.13
- ≤ V1.21
この脆弱性は次のkube-apiserverバージョンで修正されます:
- v1.25.1
- v1.24.5
- v1.23.11
- v1.22.14
影響
APIService
オブジェクトに対する読み取りおよび書き込み権限を持つ攻撃者は、集約APIサーバーを使用して、クライアントトラフィックをカスタムURLにリダイレクトできます。 これは、特権のエスカレーションまたは機密情報の漏洩につながる可能性があります。
緩和
- 信頼できるユーザーのみが
APIService
オブジェクトに対する読み取りおよび書き込み権限を持っていることを確認します。 これにより、信頼できないユーザーがAPIService
オブジェクトを使用して集約APIサーバーをデプロイおよび制御できなくなります。説明 この脆弱性に対する緩和策はありません。 信頼できないユーザーに集約APIサーバーへのアクセスを許可しないことを推奨します。 信頼できないユーザーにAPIServiceオブジェクトの読み書き権限を付与しないでください。 - ACKのリリースノートをメモし、できるだけ早い機会にこの脆弱性を修正するためにクラスターを更新することができます。