CVE-2021-25741
1 分钟 阅读时间
这是一个权限访问相关的卷安全性问题。用户可以在创建的容器中通过 subpath 的卷挂载方式访问到该卷挂载目录之外的文件和目录,包括主机的文件系统。
漏洞影响
该漏洞影响 kubelet 相关行为,对于严格限制 hostPath 创建行为的集群管理员来说问题尤为严重。
漏洞评分
该漏洞为中危漏洞, CVSS 评分为 5.5。
防范措施
对于不想升级 kubelet 的用户来说,可以有两种防范措施:
- 禁止
kubelet,kube-apiserver的VolumeSubpath功能,并且移除所有正在使用该功能的pod。 - 使用
admission control防止信任度较低的用户使用root权限运行容器。
官方修复的版本
- v1.22.2
- v1.21.5
- v1.20.11
- v1.19.15
KLTS 修复的版本
- v1.18.20-lts.1 kubernetes/kubernetes#104253
- v1.17.17-lts.1 TODO
- v1.16.15-lts.1 TODO
- v1.15.12-lts.1 TODO
- v1.14.10-lts.1 TODO
- v1.13.12-lts.1 TODO
- v1.12.10-lts.1 TODO
- v1.11.10-lts.1 TODO
- v1.10.13-lts.1 TODO
Feedback
Was this page helpful?
Glad to hear it! Please tell us how we can improve.
Sorry to hear that. Please tell us how we can improve.
最后修改
2022.03.08
: 修改下主目录的层级:kubernetes 和 containerd 平级 (f6668712)