近日Kubernetes社区披露了安全漏洞CVE-2022-3172,攻击者可以通过控制聚合(aggregated)API Server将客户端流量重定向到任何URL,导致通过客户端发起的提权攻击或集群内敏感信息的泄露。

CVE-2022-3172漏洞被评估为中危漏洞。在CVSS的评分为5.1

影响范围

下列版本的kube-apiserver组件均在该漏洞影响范围内:

  • v1.25.0
  • v1.24.0~v1.24.4
  • v1.23.0~v1.23.10
  • v1.22.0~v1.22.13
  • ≤v1.21

Kubernetes社区在以下版本中修复了该漏洞:

  • v1.25.1
  • v1.24.5
  • v1.23.11
  • v1.22.14

漏洞影响

具有APIService接口读写权限的攻击者可以通过控制聚合(aggregated)API Server将客户端流量重定向到任何URL,导致通过客户端发起的提权攻击或集群内敏感信息的泄露。

如何防范

  1. 集群管理员严格控制集群内APIService接口的访问权限,防止非受信人员通过APIService接口权限部署和控制聚合(aggregated)API Server。
    说明 当前漏洞没有止血措施,集群管理员应注意保护聚合(aggregated)API Server。不要将APIServices接口权限授予给非受信人员。
  2. 您可以关注容器服务ACK版本发布公告,通过升级集群操作完成修复。