一、背景介绍
近日,市委网信办技术支撑单位监测到kubernetes kops存在权限提升漏洞(CVE-2023-1943) ,目前技术细节及PoC未公开。在Gossip模式下运行,可以通过节点服务账户凭证来检索状态存储桶中的敏感信息,并升级到集群管理员权限。
1.1 漏洞描述
Kops提供了一组命令行工具,用于简化创建、配置、升级和管理Kubernetes集群的过程。它支持各种云平台,如Amazon Web Services(AWS)、Google Cloud Platform(GCP)、Microsoft Azure 和 OpenStack等。Kops的目标是通过自动化集群的部署和运维流程,简化Kubernetes的管理和运营务。
1.2 漏洞编号
CVE-2023-1943
1.3漏洞等级
高危
二、修复建议
2.1 受影响版本
kubernetes kops<1.25.4,
1.26.0≤kubernetes kops≤1.26.1
2.2 修复建议
官方已发布修复方案,受影响的用户建议更新至安全版本1.26.2、1.25.4
AWS用户建议使用1.26或更高版本
GCE用户建议使用1.26.3或更高版本
DigitalOcean用户建议使用1.27.0 -alpha.2或更高版本
Hetzner用户建议使用1.27.0 -alpha.2或更高版本
https://github.com/kubernetes/kops/releases