Rancher Kubernetes Engine敏感信息泄露漏洞(CVE-2023-32191)

admin
admin
admin
140350
文章
117
评论
2024年6月21日11:25:13评论86 views字数 862阅读2分52秒阅读模式

Rancher Kubernetes Engine敏感信息泄露漏洞(CVE-2023-32191)  漏洞公告

近日,中国电信SRC监测到Kubernetes官方发布安全公告,Rancher Kubernetes Engine存在敏感信息泄露漏洞(CVE-2023-32191),CVSS:10。Rancher Kubernetes Engine 中存在一个敏感信息泄露漏洞,由于RKE中管理敏感信息的ConfigMap默认可读,低权限攻击者可以借此获取管理集群所需的所有信息和凭据,导致服务器失陷。当前官方已发布新版本,建议用户及时更新对应版本修复漏洞。

参考链接:https://github.com/rancher/rke/releases/tag/v1.4.19

Rancher Kubernetes Engine敏感信息泄露漏洞(CVE-2023-32191)

影响版本

受影响版本:
RKE < 1.4.19
RKE < 1.5.10
Rancher < 2.7.14
Rancher < 2.8.5
 Rancher Kubernetes Engine敏感信息泄露漏洞(CVE-2023-32191)

漏洞描述

Rancher Kubernetes Engine敏感信息泄露漏洞(CVE-2023-32191):该漏洞允许攻击者获取RKE集群的API服务器证书和密钥,根本原因是RKE将敏感凭据存储在集群命名空间kube-system中调用的ConfigMap中。ConfigMap是一种用于存储和管理Kubernetes配置数据的资源。默认情况下,ConfigMap中的数据是可读的,这意味着任何具有访问集群API服务器权限的用户都可以读取ConfigMap中的数据。

细节是否公开  POC状态/EXP状态  在野利用
 否    未公开     未发现
Rancher Kubernetes Engine敏感信息泄露漏洞(CVE-2023-32191)

解决方案

官方建议:
目前官方已有可更新版本,建议受影响用户升级至最新版本:
RKE >= 1.4.19
RKE >= 1.5.10
Rancher >= 2.7.14
Rancher >= 2.8.5
下载链接:
https://github.com/rancher/rke/releases
https://github.com/rancher/rancher/releases

Rancher Kubernetes Engine敏感信息泄露漏洞(CVE-2023-32191)

  Rancher Kubernetes Engine敏感信息泄露漏洞(CVE-2023-32191)点亮“在看”,你最好看

原文始发于微信公众号(中国电信SRC):【漏洞预警】Rancher Kubernetes Engine敏感信息泄露漏洞(CVE-2023-32191)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年6月21日11:25:13
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Rancher Kubernetes Engine敏感信息泄露漏洞(CVE-2023-32191)https://cn-sec.com/archives/2870241.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息