中危 Kubernetes 验证准入 Webhook 绕过(CVE-2021-25735)

CVE编号

CVE-2021-25735

利用情况

EXP 已公开

补丁情况

官方补丁

披露时间

2021-09-06
该漏洞EXP已公开传播,漏洞利用成本极低,建议您立即关注并修复。
漏洞描述
kube-apiserver 是 Kubernetes 开源的一个组件。kube-apiserver 提供了 Kubernetes 各类资源对象(pod,RC,Service等)的增删改查及watch等 HTTP Rest 接口,是整个系统的数据总线和数据中心。

kube-apiserver 存在安全漏洞,攻击者可以在某些场景下绕过 Validating Admission Webhook 的准入机制更新节点,该漏洞仅影响使用了 Validating Admission Webhook ,并且该 Webhook 会依赖节点更新前原状态的某些字段进行准入校验的集群。

影响版本:
v1.20.0 <= kube-apiserver <= v1.20.5
v1.19.0 <= kube-apiserver <= v1.19.9
kube-apiserver <= v1.18.17

修复版本:

kube-apiserver v1.21.0
kube-apiserver v1.20.6
kube-apiserver v1.19.10
kube-apiserver v1.18.18
解决建议
建议将该组件升级至修复版本。
参考链接
https://github.com/kubernetes/kubernetes/issues/100096
https://groups.google.com/g/kubernetes-security-announce/c/FKAGqT4jx9Y
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 kubernetes kubernetes * Up to
(excluding)
1.18.18
运行在以下环境
应用 kubernetes kubernetes * From
(including)
1.19.0 		Up to
(excluding)
1.19.10
运行在以下环境
应用 kubernetes kubernetes * From
(including)
1.20.0 		Up to
(excluding)
1.20.6
运行在以下环境
系统 alpine_3.14 k3s * Up to
(excluding)
1.20.6.1-r0
运行在以下环境
系统 alpine_3.15 k3s * Up to
(excluding)
1.20.6.1-r0
运行在以下环境
系统 alpine_3.16 k3s * Up to
(excluding)
1.20.6.1-r0
运行在以下环境
系统 alpine_3.17 k3s * Up to
(excluding)
1.20.6.1-r0
运行在以下环境
系统 alpine_3.18 k3s * Up to
(excluding)
1.20.6.1-r0
运行在以下环境
系统 alpine_3.19 k3s * Up to
(excluding)
1.20.6.1-r0
运行在以下环境
系统 debian_11 kubernetes * Up to
(excluding)
1.20.5+really1.20.2-1
运行在以下环境
系统 debian_12 kubernetes * Up to
(excluding)
1.20.5+really1.20.2-1
阿里云评分
4.0
  • 攻击路径
    本地
  • 攻击复杂度
    容易
  • 权限要求
    无需权限
  • 影响范围
    有限影响
  • EXP成熟度
    EXP 已公开
  • 补丁情况
    官方补丁
  • 数据保密性
    无影响
  • 数据完整性
    无影响
  • 服务器危害
    无影响
  • 全网数量
    N/A
CWE-ID 漏洞类型
CWE-863 授权机制不正确
NVD-CWE-Other
阿里云安全产品覆盖情况