Kubernetes 中发现了一个高严重性漏洞,攻击者可能利用该漏洞在容器边界外执行任意命令。该漏洞被追踪为 CVE-2024-10220,CVSS 得分为 8.1,影响运行特定版本 kubelet 的 Kubernetes 群集。
该漏洞利用了 gitRepo 卷,这是一种用于将 Git 仓库克隆到 pod 的功能。通过操纵目标存储库中的钩子文件夹,攻击者可以执行超出预期容器限制的命令。
kubernetes 问题解释说:“这个漏洞利用目标资源库中的钩子文件夹,在容器边界外运行任意命令。这可能会让恶意行为者在未经授权的情况下访问敏感数据、提升权限并危及整个 Kubernetes 集群。”
受影响的 kubelet 版本包括
- v1.30.0 至 v1.30.2
- v1.29.0 至 v1.29.6
- <= v1.28.11
为缓解该漏洞,Kubernetes 用户应将其集群升级到其中一个修复版本:
- 主版本/v1.31.0
- v1.30.3
- v1.29.7
- v1.28.12
由于 gitRepo 卷已被弃用,建议的解决方案是迁移到其他功能。Kubernetes 建议使用 init 容器执行 Git 克隆操作,并将生成的目录挂载到 pod 的容器中。
该漏洞最初于 7 月份披露,它强调了随时了解安全更新并及时应用必要补丁的重要性。
发表评论
您还未登录,请先登录。
登录