Kubernetes社区披露了kube-apiserver组件的相关漏洞。由于Kubernetes集群没有校验EndpointSlices实例的端点IP是否合法,攻击者可能重定向访问集群节点的本地网络。本文介绍该漏洞,以及漏洞的影响范围和防范措施。

CVE-2021-25737漏洞在CVSS的评分为2.7,威胁等级属于低级。

漏洞现象

通过Kubectl命令行或API的方式,列举集群中存在的EndpointSlices实例。如果EndpointSlices实例的端点包含127.0.0.0/8169.254.0.0/16网段内的某个地址,则该集群可能会受到该漏洞攻击。关于该漏洞的详细信息,请参见 #101084

漏洞影响

下列官方kube-apiserver组件版本均包含该漏洞:

  • v1.21.0
  • v1.20.0~v1.20.6
  • v1.19.0~v1.19.10
  • v1.16.0~v1.18.18
    说明 在v1.16~v1.18中默认没有开启EndpointSlices特性,如果在这个版本区间的EndpointSlices特性没有开启,您就不会受到该漏洞影响 。

Kubernetes社区在下列版本中修复了该漏洞:

  • v1.21.1
  • v1.20.7
  • v1.19.11
  • v1.18.19

防范措施

您可以通过部署gatekeeper组件创建Validating Admission Webhook,强制阻止在127.0.0.0/8169.254.0.0/16网段的EndpointSlices实例 。具体操作,请参见gatekeeper