Rancher Kubernetes Engine敏感信息存储不当漏洞安全风险通告

admin

138883
文章

114
评论

2024年6月20日13:16:36评论49 views字数 770阅读2分34秒阅读模式

漏洞背景

近日，嘉诚安全监测到Rancher Kubernetes Engine中存在一个敏感信息存储不当漏洞，漏洞编号分别为：CVE-2023-32191。

Rancher Kubernetes Engine(RKE)是一个广泛使用的Kubernetes发行版，可简化Kubernetes的安装和操作。

鉴于漏洞危害较大，嘉诚安全提醒相关用户尽快更新至安全版本，避免引发漏洞相关的网络安全事件。

漏洞详情

经研判，该漏洞为高危漏洞，允许攻击者获取RKE集群的API服务器证书和密钥。该漏洞的根本原因是RKE将敏感凭据存储在集群命名空间kube-system中调用的ConfigMap中。ConfigMap是一种用于存储和管理Kubernetes配置数据的资源。默认情况下，ConfigMap中的数据是可读的，这意味着任何具有访问集群API服务器权限的用户都可以读取ConfigMap中的数据。

危害影响

影响范围：

RKE < 1.4.19

RKE < 1.5.10

Rancher < 2.7.14

Rancher < 2.8.5

处置建议

RKE用户必须升级到以下修补版本:

RKE >= 1.4.19

RKE >= 1.5.10

Rancher >= 2.7.14

Rancher >= 2.8.5

下载链接:

https://github.com/rancher/rke/releases

https://github.com/rancher/rancher/releases

参考链接：

https://github.com/advisories/GHSA-6gr4-52w6-vmqx

https://github.com/rancher/rke/releases/tag/v1.4.19

Rancher Kubernetes Engine敏感信息存储不当漏洞安全风险通告

原文始发于微信公众号（嘉诚安全）：【漏洞通告】Rancher Kubernetes Engine敏感信息存储不当漏洞安全风险通告

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

Rancher Kubernetes Engine敏感信息存储不当漏洞安全风险通告

CVE-2025-22457：基于堆栈的远程缓冲区溢出的POC验证脚本

Kubernetes CVE-2025-1974 RCE POC

CVE-2025-27218｜Sitecore CMS远程代码执行漏洞

CentreStack 反序列化漏洞 (CVE-2025-30406)

Windows提权漏洞CVE-2025-21204

漏洞预警博华X龙防火墙系统 arp_scan文件读取漏洞

网安人的咯噔文学|CVE-2025-404NotFound？

CVE-2025-21204: Windows Update Stack 中的不当链接跟随导致的权限提升

Windows 提权漏洞速报：CVE-2025-21204

Jupyter Remote Desktop未授权访问漏洞CVE-2025-32428

发表评论

在线咨询

微信