Kubernetes社区披露了Windows节点相关的安全漏洞CVE-2023-3676和CVE-2023-3955。当攻击者拥有在集群Windows节点上创建Pod的权限时,可以利用漏洞越权获得该节点的管理员权限。
CVE-2023-3676和CVE-2023-3955漏洞被评估为高危漏洞,在CVSS的评分为8.8。关于该漏洞的详细信息,请参见#119595、#119339。
影响范围
只有包含Windows节点的ACK集群会受到影响。
您可通过执行kubectl get nodes -l kubernetes.io/os=windows,查看集群是否正在使用Windows节点。
下列版本的kubelet组件均在漏洞影响范围内,且每个大版本中在漏洞影响范围内的小版本kubelet均需要修复。
kubelet≤v1.28.0(在v1.28.1及以上版本中已修复)
kubelet≤v1.27.4(在v1.27.5及以上版本中已修复)
kubelet≤v1.26.7(在v1.26.8及以上版本中已修复)
kubelet≤v1.25.12(在v1.25.13及以上版本中已修复)
kubelet≤v1.24.16(在v1.24.17及以上版本中已修复)
防范措施
容器服务 Kubernetes 版 ACK(Container Service for Kubernetes)在1.28版本的集群节点池运行时中已修复该问题,请您及时升级集群版本进行修复。具体操作,请参见升级流程、方式及所需时间。
您可以遵循最小化权限原则,收敛指定集群的RBAC Pod创建权限,并且通过开启集群APIServer审计日志观测和记录可疑的Pod创建。
文档内容是否对您有帮助?