K8s产品委员会于本周一发布了一个安全公告,该公告揭露了一个K8s影响多租户集群的安全漏洞。该漏洞由Anevia的Etienne Champetier报告。如果潜在的攻击者已经可以创建或编辑服务和Pod,则他们可能能够拦截来自集群中其他Pod(或节点)的流量。
委员会已将此问题等级列为中等严重性,并分配为CVE-2020-8554 。
能够创建ClusterIP服务并设置spec.externalIPs字段的攻击者可以拦截到该IP的流量。能够修补LoadBalancer服务状态(通常被认为是特权操作,通常不应授予用户)的攻击者可以将status.loadBalancer.ingress.ip设置为类似效果。
此问题是设计缺陷,由于K8s开发团队尚未提供安全更新来解决此问题,建议k8s管理员通过限制对易受攻击功能的访问来缓解CVE-2020-8554漏洞。</