CVE-2020-8559
1 分钟 阅读时间
这是 kube-apiserver 组件的安全漏洞,攻击者可以通过截取某些发送至节点 kubelet 的升级请求,通过请求中原有的访问凭据转发请求至其他目标节点,从而造成节点权限提升的漏洞。
漏洞影响
由于 kube-apiserver 在升级请求的代理后端中允许将请求传播回源客户端,所以攻击者可以通过截取某些发送至节点 kubelet 的升级请求,然后利用请求中原有的访问凭据转发请求至其他目标节点,从而造成被攻击节点出现权限提升的漏洞。
漏洞评分
该漏洞为中危漏洞, CVSS 评分为 6.4。
如果有多个集群共享使用了相同的 CA 和认证凭证,攻击者可以利用此漏洞攻击其他集群,这种情况下该漏洞为高危漏洞。
防范措施
对于集群内跨节点的攻击,建议您采取以下安全防范措施:
- 及时吊销可能泄露的
kubeconfig凭证,并且遵循权限最小化原则,收敛子账号不必要的pods/exec、pods/attach、pods/portforward和proxy类型的资源模型RBAC权限。
官方修复的版本
- v1.18.6
- v1.17.9
- v1.16.13
KLTS 修复的版本
Feedback
Was this page helpful?
Glad to hear it! Please tell us how we can improve.
Sorry to hear that. Please tell us how we can improve.
最后修改
2026.04.15
: Remove unavailable patch links for older Kubernetes versions (b80f2500)