Kubernetes社区披露了CVE-2023-2727和CVE-2023-2728两个关于kube-apiserver的安全漏洞。关于漏洞详细信息,请参见#118640。
漏洞CVE-2023-2727:攻击者可以利用kube-apiserver中原生ImagePolicyWebhook准入插件的漏洞,通过部署临时容器(ephemeral containers),绕过对启动容器中使用的镜像的安全校验。该漏洞被评估为中危漏洞,在CVSS的评分为6.5。
漏洞CVE-2023-2728:攻击者可以利用kube-apiserver中原生ServiceAccount准入插件的漏洞,通过部署临时容器(ephemeral containers),在一定条件下绕过ServiceAccount准入插件的安全校验,在启动的临时容器中越权读取一个无权引用的Secret实例。该漏洞被评估为中危漏洞,在CVSS的评分为6.5。
影响范围
对于CVE-2023-2727:只有在集群开启并正在使用ImagePolicyWebhook准入插件,且正在部署使用临时容器的情况下,才会受到此漏洞影响。
对于CVE-2023-2728:只有在集群正在部署使用临时容器,且依赖使用的ServiceAccount配置了
kubernetes.io/enforce-mountable-secrets注释的情况下,才会受到此漏洞影响。
下列版本的kube-apiserver均在漏洞影响范围内:
v1.27.0~v1.27.2
v1.26.0~v1.26.5
v1.25.0~v1.25.10
≤v1.24.14
社区在下列版本中修复了此问题:
v1.27.3
v1.26.6
v1.25.11
v1.24.15
防范措施
您可以通过以下措施进行漏洞修复。
推荐使用ACK安全策略治理中的
ACKAllowedRepos和ACKNoEnvVarSecrets策略,可以实现与原生ImagePolicyWebhook和ServiceAccount准入插件一致的安全校验效果。关于安全策略的更多信息,请参见配置容器安全策略(新版)。通过关注和检索APIServer审计日志,可以及时发现使用了可疑镜像或Secrets的临时容器。