CVE-2020-8559

漏洞详情

这是 kube-apiserver 组件的安全漏洞,攻击者可以通过截取某些发送至节点 kubelet 的升级请求,通过请求中原有的访问凭据转发请求至其他目标节点,从而造成节点权限提升的漏洞。

漏洞影响

由于 kube-apiserver 在升级请求的代理后端中允许将请求传播回源客户端,所以攻击者可以通过截取某些发送至节点 kubelet 的升级请求,然后利用请求中原有的访问凭据转发请求至其他目标节点,从而造成被攻击节点出现权限提升的漏洞。

漏洞评分

该漏洞为中危漏洞, CVSS 评分为 6.4。 如果有多个集群共享使用了相同的 CA 和认证凭证,攻击者可以利用此漏洞攻击其他集群,这种情况下该漏洞为高危漏洞。

防范措施

对于集群内跨节点的攻击,建议您采取以下安全防范措施:

  • 及时吊销可能泄露的 kubeconfig 凭证,并且遵循权限最小化原则,收敛子账号不必要的 pods/execpods/attachpods/portforwardproxy 类型的资源模型 RBAC 权限。

官方修复的版本

  • v1.18.6
  • v1.17.9
  • v1.16.13

KLTS 修复的版本