云容器引擎 CCE-Kubernetes kubelet和kube-proxy授权问题漏洞公告(CVE-2020-8558):漏洞详情

时间:2024-09-25 08:06:20

漏洞详情

Kubernetes官方发布安全公告,其核心组件kube-proxy存在主机边界绕过漏洞(CVE-2020-8558)。利用漏洞攻击者可能通过同一局域网下的容器,或在集群节点上访问同一个二层域下的相邻节点上绑定监听了本地127.0.0.1端口的TCP/UDP服务,从而获取接口信息。如果绑定在端口上的服务没有设置身份验证,则会导致该服务容易受到攻击。例如,如果集群管理员运行监听了127.0.0.1:1234的TCP服务,由于这个bug,该服务将有可能被与该节点在同一局域网中的其他主机,或与该服务运行在同一节点上的容器所访问。如果端口1234上的服务不需要额外的认证(因为假设只有其他localhost进程可以),那么很容易受到利用此bug进行攻击。

华为云提醒使用kube-proxy的用户及时安排自检并做好安全加固。

详情请参考链接:https://github.com/kubernetes/kubernetes/issues/92315

表1 漏洞信息

漏洞类型

CVE-ID

漏洞级别

披露/发现时间

代码注入

CVE-2020-8558

2020-07-08

support.huaweicloud.com/bulletin-cce/cce_bulletin_0012.html