Kubernetes镜像构建器中存在一个严重漏洞,追踪为CVE-2024-9486(CVSS评分:9.8),如果被攻击者利用,可以获得root权限。只有使用Image Builder项目和Proxmox提供商生成的VM镜像的Kubernetes集群受到影响。安全公告中写道:“在 Kubernetes Image Builder 中发现了一個安全问题,在镜像构建过程中默认密码被启用。此外,使用 Proxmox 提供商生成的虚拟机镜像不禁用这些默认密码,从而可能使节点通过这些默认密码访问。”“这些密码可以用来获得root权限。只有使用Image Builder项目和Proxmox提供商生成的VM镜像的Kubernetes集群受到影响。”
该漏洞由安全研究员Nicolai Rybnikar发现,已在版本0.1.38中修复。修复版本将在镜像构建过程中设置随机生成的密码,并在镜像构建完成后禁用builder账户。要 mitigiate 该问题,可以重建使用修复版本的镜像,并重新部署它们。Alternatively,可以使用 usermod -L builder 命令在受影响的VMs上禁用‘builder’账户。
Kubernetes Image Builder v0.1.38还解决了追踪为CVE-2024-9594(CVSS评分:6.3)的默认密码问题。“在 Kubernetes Image Builder 中发现了一個安全问题,在使用 Nutanix、OVA、QEMU 或 raw 提供商生成的镜像时,默认密码被启用。这些密码可以用来获得root权限。”安全公告中写道。“这些密码在镜像构建完成后被禁用。只有使用Image Builder项目生成的VM镜像的Kubernetes集群受到影响。”
原文始发于微信公众号(黑猫安全):Kubernetes镜像构建器中存在一个严重漏洞,可能允许攻击者获得root权限
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论