“「K8S 生态周报」内容主要包含我所接触到的 K8S 生态相关的每周值得推荐的一些信息。欢迎订阅知乎专栏「k8s生态」[1]。
”
大家好,我是张晋涛。
上游进展
Kubernetes 发布了 v1.22.16 和 1.23.14,1.24.8,1.25.4等版本,其中最重要的就是以下两个安全漏洞了。
CVE-2022-3162
当用户被授权允许在集群范围内 list 或 watch 某个 namespace 范围的自定义资源时,可以读取在同一 API 组下,不同类型的其他自定义资源。
这个漏洞影响范围是:
kube-apiserver v1.25.0 - v1.25.3
kube-apiserver v1.24.0 - v1.24.7
kube-apiserver v1.23.0 - v1.23.13
kube-apiserver v1.22.0 - v1.22.15
kube-apiserver < v1.21.?
CVE-2022-3294
我们平时如果想要进入 Pod 内进行操作(即 kubectl exec
)的时候,它的过程是:
kubectl -> kube-apiserver:
kubectl 会请求 /api/v1/namespaces/<ns>/pods/<pod>/exec
到 kube-apiserver,实际的代码也很简单