Kube-apiserver
Уязвимости
3
Эксплуатируемые
0
Макс. CVSS
8
Макс. EPSS
0.01556
Распределение по критичности
Критический
0
Высокий
2
Средний
1
Низкий
0
Затронутые диапазоны версий
4.14–4.15.10< 1.31.12
Также сопоставлено как (исходные строки): kube-apiserver
Топ уязвимостей
CVE-2023-1260В kube-apiserver обнаружена уязвимость обхода аутентификации. Эта проблема может позволить удаленному прошедшему проверку подлинности злоумышленнику, которому были предоставлены разрешения "update, patch" для подресурса "pods/ephemeralcontainers" сверх того, что есть по умолчанию. Затем им нужно будет создать новый pod или исправить тот, к которому у них уже есть доступ. Это может позволить обойти ограничения приема SCC, тем самым получив контроль над привилегированным pod.
CVE-2024-1139В операторе мониторинга кластера в OCP обнаружена уязвимость утечки учетных данных. Эта проблема может позволить удаленному злоумышленнику, имеющему основные учетные данные для входа, проверить манифест pod, чтобы обнаружить секрет извлечения репозитория.
CVE-2025-5187В контроллере допусков NodeRestriction существует уязвимость, позволяющая пользователям узлов удалять соответствующий объект узла путем изменения его с помощью OwnerReference к ресурсу, ограниченному кластером. Если ресурс OwnerReference не существует или впоследствии удаляется, данный объект узла будет удален через сборку мусора. По умолчанию пользователям узлов разрешены запросы на создание и изменение, но не на удаление их объекта узла. Поскольку контроллер допусков NodeRestriction не предотвращает изменение OwnerReferences, скомпрометированный узел может использовать эту уязвимость для удаления и последующего воссоздания своего объекта узла. Это позволит воссоздать объект узла с измененными taints или метками, которые обычно отклоняются этим плагином. Изменение taints или меток на узле может позволить злоумышленнику контролировать, какие поды выполняются на скомпрометированном узле. Уязвимыми являются все кластеры, в которых включен NodeRestriction, но не включен контроллер OwnerReferencesPermissionEnforcement. Контроллер OwnerReferencesPermissionEnforcement защищает доступ к OwnerReferences объекта, так что только пользователи с разрешением на удаление объекта могут его изменять. Эта проблема может быть устранена путем обновления до версии kube-apiserver с одним из исправленных минорных версий для версий 1.31-1.33. В качестве альтернативы, эта уязвимость может быть устранена путем включения контроллера допусков OwnerReferencesPermissionEnforcement, который предотвратит изменение OwnerReferences на объекте для пользователей без разрешений на удаление. Для обнаружения этой проблемы можно проанализировать журналы аудита API на предмет запросов на изменение узлов, выданных пользователями узлов, которые изменяют OwnerReferences. В нормальной работе Kubelet никогда не выдает запрос на изменение, который изменяет свои собственные OwnerReferences. Уязвимость была обнаружена Полем Виоссатом, исправлена и координирована Сергеем Канжелевым, Джорданом Лигггитом и Марко Мудриничем [1].
Источники:
- [1] https://github.com/kubernetes/kubernetes/issues/133471
- [2] https://groups.google.com/g/kubernetes-security-announce/c/znSNY7XCztE