CVE-2020-13401漏洞源于IPv6动态分配提供了IPv6的DHCP技术外,还支持Router Advertisement技术。路由器会定期向节点通告网络状态,包括路由记录。客户端会通过NDP进行自身网络配置。本文介绍该漏洞的影响。

注意 由于ACK未开启IPv6,所有ACK集群不受该漏洞影响,您无需做任何操作。

影响范围

对操作系统中启用了IPv6并且容器网络的CNI Plugins小于 V0.8.6版的节点有影响。

漏洞影响

恶意攻击者可以篡改主机上其他容器或主机本身的IPv6路由记录,实现中间人攻击。即使现在系统或者服务上没有直接使用IPv6地址进行网络请求通知,但是如果DNS返回了A(IPv4)和AAAA(IPv6)记录,许多HTTP库都会尝试IPv6进行连接,如果再回退到IPv4。

以下kubelet版本都包含了kubernetes-cni服务,所以都会受到该漏洞影响:
  • kubelet v1.18.0~v1.18.3
  • kubelet v1.17.0~v1.17.6
  • kubelet<v1.16.11
注意 由于ACK未开启IPv6,所有ACK集群不受该漏洞影响,您无需做任何操作。