Latest News
Human knowledge belongs to the world!!!
K8s - วันเดียวจัด CVE ไป 3 ตัว

K8s - วันเดียวจัด CVE ไป 3 ตัว

ประกาศ CVE ของ Kubernetes 3 ตัวรวด เป็นระดับ Low x 1 และ ระดับ Medium x 2

author image
drs

Technology evangelistic advocacy

Posted on 2023-06-15 08:14:30 +0700

วันนี้ได้รับอีเมล์ประกาศ CVE ของ Kubernetes 3 ตัวรวด เป็นระดับ Low x 1 และ ระดับ Medium x 2 … เห็นอีเมล์แล้วนั่งไม่ติดเก้าอี้เลยครับ แต่พอมานั่งดูรายละเอียด ผลกระทบก็ยังมีไม่กว้างมากนัก คนที่จะใช้งานจนเกิดเงื่อนไขของช่องโหว่อาจจะมีอยู่ไม่มากนัก แต่ก็เรียบเรียงทั้ง 3 ตัวไว้ใน blog นี้ได้อ่านจากที่เดียวเลยแล้วครับ ถ้าไม่อยากอ่านรายละเอียดสรุปได้ประมาณนี้ครับ ถ้าใครไม่เข้าเงื่อนไข 3 หัวข้อนี้ ข้าม blog นี้ได้เลย

  1. มีการใช้งาน seccomp profile แบบ localhost
  2. มีการใช้่งาน ImagePolicyWebhook กับ Pod มีการใช้ ephemeral container
  3. มีการใช้งาน ServiceAccount admission plugin , กำหนด annotation ที่มีค่า kubernetes.io/enforce-mountable-secrets และ มีการใช้ ephemeral container

CVE-2023-2431: Bypass of seccomp profile enforcement

ตัวนี้ถูกจัดระดับเป็นระดับ Low เกิดขึ้นที่ kubelet ซึ่งจะทำให้ pods สามารถข้ามผ่านการบังคับใช้โปรไฟล์ของ seccomp ได้ ถ้าผู้ใช้งานสร้าง pod โดยที่กำหนด .spec.securityContext.seccompProfile.type เป็น Localhost แล้วไฟล์นั้นมีโปร์ไฟล์ที่ไม่มีข้อมูลใด ๆ ช่องโหว่นี้จะทำให้ pod ทำงานใน unconfined mode ซึ่งเหมือนกันการ disable การกำกับของ seccomp ไป

  • kubelet เวอร์ชันที่มีผลกระทบ
    • v1.27.0 - v1.27.1
    • v1.26.0 - v1.26.4
    • v1.25.0 - v1.25.9
    • เวอร์ชันที่น้อยกว่าหรือเท่ากับ v1.24.13 ทั้งหมด
  • แนวทางการแก้ไข ให้ upgrade kubelet ให้เป็นเวอร์ชันดังนี้
    • v1.27.2
    • v1.26.5
    • v1.25.10
    • V1.24.14

CVE ตัวนี้ถูกรายงานโดย Tim Allclair แก้ไขโดย Craig Ingram และข้อมูลจาก Kubernetes Security Response Committee

CVE-2023-2727: Bypassing policies imposed by the ImagePolicyWebhook admission plugin

ตัวนี้ถูกจัดอยู่ในระดับ Medium เกิดขึ้นที่ Adminission Controller ใน kube-apiserver จะทำให้สามารถข้ามผ่านการบังคับใช้ของ ImagePolicyWebhook admission plugin ถ้า Pod มีการใช้ ephemeral container

  • kube-apiserver ที่มีผลกระทบ
    • kube-apiserver v1.27.0 - v1.27.2
    • kube-apiserver v1.26.0 - v1.26.5
    • kube-apiserver v1.25.0 - v1.25.10
    • kube-apiserver เวอร์ชันที่น้อยกว่าหรือเท่ากับ v1.24.14
  • แนวทางการแก้ไข ให้ upgrade kube-apiserver ให้เป็นเวอร์ชันดังนี้
    • kube-apiserver v1.27.3
    • kube-apiserver v1.26.6
    • kube-apiserver v1.25.11
    • kube-apiserver v1.24.15

ข้อมูลจาก Kubernetes Security Response Committee

CVE-2023-2728: Bypassing enforce mountable secrets policy imposed by the ServiceAccount admission plugin

ตัวนี้ถูกจัดอยู่ในระดับ Medium เกิดขึ้นที่ Adminission Controller ใน kube-apiserver เหมือนกัน จะทำให้ข้ามผ่านการบังคับใช้ของ mountable secrets policy จาก ServiceAccount admission plugin ถ้า Pod มีการกำหนด annotation ที่มีค่า kubernetes.io/enforce-mountable-secrets และ มีการใช้ ephemeral container ไปพร้อม ๆ กัน

  • kube-apiserver ที่มีผลกระทบ
    • kube-apiserver v1.27.0 - v1.27.2
    • kube-apiserver v1.26.0 - v1.26.5
    • kube-apiserver v1.25.0 - v1.25.10
    • kube-apiserver เวอร์ชันที่น้อยกว่าหรือเท่ากับ v1.24.14
  • แนวทางการแก้ไข ให้ upgrade kube-apiserver ให้เป็นเวอร์ชันดังนี้
    • kube-apiserver v1.27.3
    • kube-apiserver v1.26.6
    • kube-apiserver v1.25.11
    • kube-apiserver v1.24.15

ข้อมูลจาก Kubernetes Security Response Committee

cover

Share on

Tags

author image
drs

Technology evangelistic advocacy

คนธรรมดา หลงไหลในเทคโนโลยี ที่ชอบการแบ่งปัน

Human knowledge belongs to the world

a line from the movie "Antitrust"