CVE-2021-25741
1 分钟 阅读时间
这是一个权限访问相关的卷安全性问题。用户可以在创建的容器中通过 subpath 的卷挂载方式访问到该卷挂载目录之外的文件和目录,包括主机的文件系统。
漏洞影响
该漏洞影响 kubelet 相关行为,对于严格限制 hostPath 创建行为的集群管理员来说问题尤为严重。
漏洞评分
该漏洞为中危漏洞, CVSS 评分为 5.5。
防范措施
对于不想升级 kubelet 的用户来说,可以有两种防范措施:
- 禁止
kubelet,kube-apiserver的VolumeSubpath功能,并且移除所有正在使用该功能的pod。 - 使用
admission control防止信任度较低的用户使用root权限运行容器。
官方修复的版本
- v1.22.2
- v1.21.5
- v1.20.11
- v1.19.15
KLTS 修复的版本
Feedback
Was this page helpful?
Glad to hear it! Please tell us how we can improve.
Sorry to hear that. Please tell us how we can improve.
最后修改
2026.04.15
: docs: clean easy TODO placeholders in kubernetes pages (3d1fccc8)