Kubernetes社区披露了kube-apiserver组件的相关漏洞。由于Kubernetes集群没有校验EndpointSlices实例的端点IP是否合法,攻击者可能重定向访问集群节点的本地网络。本文介绍该漏洞,以及漏洞的影响范围和防范措施。
CVE-2021-25737漏洞在CVSS的评分为2.7,威胁等级属于低级。
漏洞现象
通过Kubectl命令行或API的方式,列举集群中存在的EndpointSlices实例。如果EndpointSlices实例的端点包含127.0.0.0/8
和169.254.0.0/16
网段内的某个地址,则该集群可能会受到该漏洞攻击。关于该漏洞的详细信息,请参见 #101084。
漏洞影响
下列官方kube-apiserver组件版本均包含该漏洞:
- v1.21.0
- v1.20.0~v1.20.6
- v1.19.0~v1.19.10
- v1.16.0~v1.18.18
说明 在v1.16~v1.18中默认没有开启EndpointSlices特性,如果在这个版本区间的EndpointSlices特性没有开启,您就不会受到该漏洞影响 。
Kubernetes社区在下列版本中修复了该漏洞:
- v1.21.1
- v1.20.7
- v1.19.11
- v1.18.19
防范措施
您可以通过部署gatekeeper组件创建Validating Admission Webhook,强制阻止在127.0.0.0/8
和169.254.0.0/16
网段的EndpointSlices实例 。具体操作,请参见gatekeeper。
© 版权声明
文章版权归原作者所有,未经允许请勿转载。
THE END
暂无评论内容