CVE-2020-8559

1 分钟阅读时间

这是 kube-apiserver 组件的安全漏洞，攻击者可以通过截取某些发送至节点 kubelet 的升级请求，通过请求中原有的访问凭据转发请求至其他目标节点，从而造成节点权限提升的漏洞。

漏洞影响

由于 kube-apiserver 在升级请求的代理后端中允许将请求传播回源客户端，所以攻击者可以通过截取某些发送至节点 kubelet 的升级请求，然后利用请求中原有的访问凭据转发请求至其他目标节点，从而造成被攻击节点出现权限提升的漏洞。

漏洞评分

该漏洞为中危漏洞， CVSS 评分为 6.4。如果有多个集群共享使用了相同的 CA 和认证凭证，攻击者可以利用此漏洞攻击其他集群，这种情况下该漏洞为高危漏洞。

防范措施

对于集群内跨节点的攻击，建议您采取以下安全防范措施：

及时吊销可能泄露的 kubeconfig 凭证，并且遵循权限最小化原则，收敛子账号不必要的 pods/exec、pods/attach、pods/portforward 和 proxy 类型的资源模型 RBAC 权限。

官方修复的版本

v1.18.6
v1.17.9
v1.16.13

KLTS 修复的版本

v1.15.12-lts.1 kubernetes/kubernetes#92971
v1.14.10-lts.1 kubernetes/kubernetes#92971
v1.13.12-lts.1 TODO
v1.12.10-lts.1 TODO
v1.11.10-lts.1 TODO
v1.10.13-lts.1 TODO

Feedback

Was this page helpful?

Glad to hear it! Please tell us how we can improve.

Sorry to hear that. Please tell us how we can improve.

最后修改 2022.03.08 : 修改下主目录的层级：kubernetes 和 containerd 平级 (f6668712)