CVE-2019-11244 是 Kubernetes 中一个权限问题,涉及 kubectl 缓存的 schema 信息。由于缓存文件以世界可写权限存储,攻击者可能利用此漏洞修改缓存文件,从而影响 kubectl 的正常运行。此问题影响 Kubernetes v1.8.x 到 v1.14.x 版本。建议升级到 v1.14.x 或更高版本以解决此问题。
此漏洞允许具有对 --cache-dir 目录写入权限的用户或组,修改 kubectl 缓存的 schema 信息。攻击者可以利用此漏洞来篡改 kubectl 的行为,例如,使其返回错误信息或执行未经授权的操作。虽然该漏洞的 CVSS 评分为低,但如果攻击者能够控制受影响的 Kubernetes 集群,则可能造成严重后果。攻击者可能利用此漏洞进行横向移动,访问敏感数据,甚至完全控制集群。该漏洞的潜在影响类似于其他权限提升漏洞,攻击者可以利用其获取更高的权限。
该漏洞已公开披露,并且存在潜在的利用风险。目前尚未观察到大规模的利用活动,但由于漏洞的易利用性,建议尽快采取缓解措施。该漏洞已添加到 CISA KEV 目录中,表明其具有一定的安全风险。公开的 PoC 尚未广泛传播,但存在潜在的风险。
Kubernetes clusters running versions 1.8.0 through 1.14.x are at risk, particularly those where the --cache-dir flag is used with a directory accessible to multiple users or groups. Shared hosting environments and clusters with less stringent access controls are especially vulnerable.
• linux / server:
find /home/$USER/.kube/http-cache -perm -o=rwxrwxrwx• kubernetes / cluster:
Check kubectl configuration files for the --cache-dir flag and verify the permissions of the specified directory.
disclosure
漏洞利用状态
EPSS
0.10% (27% 百分位)
CVSS 向量
缓解此漏洞的关键是限制对 kubectl 缓存目录的访问权限。首先,避免使用默认的缓存目录,并将其更改为仅由 kubectl 用户可访问的位置。其次,确保 Kubernetes 集群的安全配置,限制用户对集群资源的访问权限。如果无法立即升级到 v1.14.x,可以考虑使用 AppArmor 或 SELinux 等安全模块来限制 kubectl 进程的权限。此外,定期审查 Kubernetes 集群的配置,确保没有不必要的权限授予。升级后,请验证 kubectl 是否正常工作,并检查缓存目录的权限是否正确设置。
将 Kubernetes 更新到 1.14.x 之后的版本。作为临时措施,请确保 kubectl 的缓存目录 (--cache-dir) 不可供其他用户/组访问,或者不指定它以使用用户主目录中的默认值。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2019-11244 是 Kubernetes v1.8.x-v1.14.x 中发现的一个权限问题,涉及 kubectl 缓存的 schema 信息以世界可写权限存储,可能被其他用户修改,影响 kubectl 的正常运行。
如果您正在使用 Kubernetes v1.8.0–v1.14* 版本,则可能受到此漏洞的影响。请尽快升级到 v1.14.x 或更高版本。
建议升级到 Kubernetes v1.14.x 或更高版本。如果无法升级,请限制 kubectl 缓存目录的访问权限,并考虑使用安全模块来限制 kubectl 进程的权限。
虽然尚未观察到大规模的利用活动,但由于漏洞的易利用性,建议尽快采取缓解措施。
请访问 Kubernetes 官方安全公告页面:https://kubernetes.io/blog/news/announcements/security/cve-2019-11244/