阿里云漏洞库

低危绕过 ServiceAccount 准入插件施加的可安装机密策略 (CVE-2024-3177)

CVE编号

CVE-2024-3177

利用情况

暂无

补丁情况

官方补丁

披露时间

2024-04-23

漏洞描述

发现Kubernetes中存在一个安全问题，用户可能能够启动容器绕过ServiceAccount admission插件所执行的可挂载保密权限策略，当使用在字段envFrom中填充时的容器、init容器和短暂容器。该策略确保使用服务帐户运行的Pod只能引用服务帐户的secrets字段中指定的保密项。只有当将ServiceAccount admission插件和kubernetes.io/enforce-mountable-secrets注释与填充了envFrom字段的容器、init容器和短暂容器一起使用时，才会影响Kubernetes集群。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
http://www.openwall.com/lists/oss-security/2024/04/16/4
https://github.com/kubernetes/kubernetes/issues/124336
https://groups.google.com/g/kubernetes-security-announce/c/JxjHf7fkVd8/m/oVCzypyOAQAJ
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedorapr...
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedorapr...

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	系统	debian_11	kubernetes	*		Up to (excluding) 1.20.5+really1.20.2-1
	运行在以下环境
	系统	debian_12	kubernetes	*		Up to (excluding) 1.20.5+really1.20.2-1
	运行在以下环境
	系统	fedora_39	kubernetes	*		Up to (excluding) 1.27.13-1.fc39
	运行在以下环境
	系统	fedora_40	kubernetes	*		Up to (excluding) 1.29.4-1.fc40
	运行在以下环境
	系统	opensuse_Leap_15.5	kubernetes1.24-proxy	*		Up to (excluding) 1.24.17-150500.3.16.1

攻击路径

本地
攻击复杂度

困难
权限要求

管控权限
影响范围

有限影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

无影响
数据完整性

无影响
服务器危害

无影响
全网数量

N/A

CWE-ID	漏洞类型

低危 绕过 ServiceAccount 准入插件施加的可安装机密策略 (CVE-2024-3177)

漏洞描述

解决建议

参考链接

受影响软件情况

低危绕过 ServiceAccount 准入插件施加的可安装机密策略 (CVE-2024-3177)