CVE-2024-10220

Kubernetes 中发现了一个高严重性漏洞,攻击者可能利用该漏洞在容器边界外执行任意命令。该漏洞被追踪为 CVE-2024-10220,CVSS 得分为 8.1,影响运行特定版本 kubelet 的 Kubernetes 群集。

该漏洞利用了 gitRepo 卷,这是一种用于将 Git 仓库克隆到 pod 的功能。通过操纵目标存储库中的钩子文件夹,攻击者可以执行超出预期容器限制的命令。

kubernetes 问题解释说:“这个漏洞利用目标资源库中的钩子文件夹,在容器边界外运行任意命令。这可能会让恶意行为者在未经授权的情况下访问敏感数据、提升权限并危及整个 Kubernetes 集群。”

受影响的 kubelet 版本包括

v1.30.0 至 v1.30.2
v1.29.0 至 v1.29.6
<= v1.28.11

为缓解该漏洞,Kubernetes 用户应将其集群升级到其中一个修复版本:

主版本/v1.31.0
v1.30.3
v1.29.7
v1.28.12

由于 gitRepo 卷已被弃用,建议的解决方案是迁移到其他功能。Kubernetes 建议使用 init 容器执行 Git 克隆操作,并将生成的目录挂载到 pod 的容器中。

该漏洞最初于 7 月份披露,它强调了随时了解安全更新并及时应用必要补丁的重要性。

文章原文链接:https://www.anquanke.com/post/id/302111