近日Kubernetes官方披露了Java客户端的相关漏洞,攻击者可以利用指定的特殊YAML模板进行代码执行攻击。本文介绍该漏洞的影响范围和防范措施。
CVE-2021-25738漏洞在CVSS的评分为6.7。
影响范围
下列版本的官方Java客户端都包含该漏洞:
- Kubernetes Java Client=v12.0.0
- Kubernetes Java Client≤v11.0.1
- Kubernetes Java Client≤v10.0.1
- Kubernetes Java Client≤v9.0.2
社区在下列版本修复了该漏洞:
防范措施
在应用中,使用官方推荐的修复版本Java客户端访问集群。关于漏洞的更多信息,请参见 1698。