Kubernetes社區披露了安全性漏洞CVE-2024-3177,攻擊者可以通過在工作負載的容器定義中使用envFrom 欄位,繞過ServiceAccount准入外掛程式對Secret掛載的限制,從而導致敏感資訊洩漏。該漏洞被評估為低危漏洞,在CVSS的評分為2.7。關於該漏洞的更多資訊,請參見#124336。
影響範圍
下列版本的kube-apiserver組件均在漏洞影響範圍內:
v1.29.0~v1.29.3
v1.28.0~v1.28.8
≤v1.27.12
社區在下列版本中修複了該問題:
v1.29.4
v1.28.9
v1.27.13
ACK叢集預設安裝組件不在該漏洞影響範圍內,若叢集中的工作負載同時滿足如下條件,則叢集會受到影響。
工作負載中的容器、Init容器或Ephemeral臨時容器使用了
envFrom欄位掛載Secret執行個體。工作負載使用了帶有
kubernetes.io/enforce-mountable-secrets註解的ServiceAccount。您可以使用如下命令查詢叢集中有潛在風險的ServiceAccount執行個體。kubectl get serviceaccounts --all-namespaces -o jsonpath="{range .items[?(@.metadata.annotations['kubernetes\.io/enforce-mountable-secrets']=='true')]}{.metadata.namespace}{'\t'}{.metadata.name}{'\n'}{end}"
推薦解決方案
您可以開啟叢集的API Server審計日誌,及時發現對Pod中envFrom欄位的非預期更新行為。具體操作,請參見使用叢集API Server審計功能。