近日Kubernetes社區披露了安全性漏洞CVE-2022-3172,攻擊者可以通過控制彙總(aggregated)API Server將用戶端流量重新導向到任何URL,導致通過用戶端發起的提權攻擊或叢集內敏感資訊的泄露。
CVE-2022-3172漏洞被評估為中危漏洞。在CVSS的評分為5.1。
影響範圍
下列版本的kube-apiserver組件均在該漏洞影響範圍內:
- v1.25.0
- v1.24.0~v1.24.4
- v1.23.0~v1.23.10
- v1.22.0~v1.22.13
- ≤v1.21
Kubernetes社區在以下版本中修複了該漏洞:
- v1.25.1
- v1.24.5
- v1.23.11
- v1.22.14
漏洞影響
具有APIService介面讀寫權限的攻擊者可以通過控制彙總(aggregated)API Server將用戶端流量重新導向到任何URL,導致通過用戶端發起的提權攻擊或叢集內敏感資訊的泄露。
如何防範
- 叢集管理員嚴格控制叢集內
APIService介面的存取權限,防止非受信人員通過APIService介面許可權部署和控制彙總(aggregated)API Server。說明 當前漏洞沒有止血措施,叢集管理員應注意保護彙總(aggregated)API Server。不要將APIServices介面許可權授予給非受信人員。 - 您可以關注Container ServiceACK版本發布公告,通過升級叢集操作完成修複。