CVE-2024-5321: Windows容器日志权限错误
CVSS评级:CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N - 中危 (6.1)
在具有Windows节点的Kubernetes集群中发现了一个安全问题,其中BUILTIN\Users可能能够读取容器日志,并且NT AUTHORITY\Authenticated Users可能能够修改容器日志。
此问题被评为中危 (CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N),并分配了编号 CVE-2024-5321。
我是否受到影响?
任何拥有Windows节点的Kubernetes环境都会受到影响。运行 kubectl get nodes -l kubernetes.io/os=windows 命令以查看是否正在使用任何Windows节点。
受影响版本
- kubelet <= 1.27.15
- kubelet <= 1.28.11
- kubelet <= 1.29.6
- kubelet <= 1.30.2
如何修复此漏洞?
可以通过应用提供的补丁来修复此问题。该补丁包含对 pkg/util/filesystem 的更改,这些更改会在Windows上设置文件权限,并加固Windows容器日志的权限。
已修复版本
- kubelet 1.27.16
- kubelet 1.28.12
- kubelet 1.29.7
- kubelet 1.30.3
要升级,请参阅文档:升级集群
检测
任何拥有Windows节点的Kubernetes环境都会受到影响。运行 kubectl get nodes -l kubernetes.io/os=windows 命令以查看是否正在使用任何Windows节点。
如果您发现此漏洞被利用的证据,请联系 security@kubernetes.io。
致谢
此漏洞由SUSE的Paulo Gomes(@pjbgf) 报告。
该问题由以下修复团队修复和协调:
- Mark Rossetti (@marosset)
- James Sturtevant (@jsturtevant)
- Craig Ingram (@cji)
- Rita Zhang (@ritazh)
以及发布经理:
- Sascha Grunert (@saschagrunert)
- Jeremy Rickard (@jeremyrickard)
- Carlos Panato (@cpanato)
- Jim Angel (@jimangel)
/area security /kind bug /committee security-response /sig windows /area kubelet /triage accepted /lifecycle frozen