【漏洞预警】Kubernetes secrets-store-csi-driver 信息泄露漏洞

admin 2023年6月9日09:11:45评论27 views字数 561阅读1分52秒阅读模式

【漏洞预警】Kubernetes secrets-store-csi-driver 信息泄露漏洞

漏洞描述:

Kubernetes secrets-store-csi-driver 是一个用于 Kubernetes 的 CSI 驱动程序,它提供了一种将外部密钥存储系统中的凭据注入到 Kubernetes Pod 的机制。

在secrets-store-csi-driver受影响版本中,当在 CSIDriver 对象中配置了 TokenRequests 并且将驱动程序日志设置为级别2或更高的级别时,会将服务账号令牌记录到日志中。攻击者访问日志时可以获取到这些敏感信息。

影响范围:

kubernetes-sigs/secrets-store-csi-driver@(-∞, 1.3.3)

secrets-store-csi-driver@(-∞, 1.3.3)

修复方案

将组件 sigs.k8s.io/secrets-store-csi-driver 升级到 1.3.3 或更高版本

将组件 github.com/kubernetes-sigs/secrets-store-csi-driver 升级到 1.3.3 或更高版本

参考链接:
https://github.com/kubernetes/kubernetes/issues/118419

原文始发于微信公众号(飓风网络安全):【漏洞预警】Kubernetes secrets-store-csi-driver 信息泄露漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年6月9日09:11:45
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【漏洞预警】Kubernetes secrets-store-csi-driver 信息泄露漏洞https://cn-sec.com/archives/1789220.html

发表评论

匿名网友 填写信息