Kubernetes de Kubernetes Fallos de seguridad encontrados

Vulnerabilidades CVE de Kubernetes de Kubernetes

CVE-2022-3162 : Los usuarios autorizados para enumerar o ver un tipo de recurso personalizado con espacio de nombres en todo el clúster pueden leer recursos personalizados de un tipo diferente en el mismo grupo de API sin autorización. Los clústeres se ven afectados por esta vulnerabilidad si todo lo siguiente es cierto: 1. Hay más de 2 CustomResourceDefinitions que comparten el mismo grupo de API 2. Los usuarios tienen una lista de todo el clúster o una autorización de observación en uno de esos recursos personalizados. 3. Los mismos usuarios no están autorizados a leer otro recurso personalizado en el mismo grupo de API.
CVE-2022-3294 : Los usuarios pueden tener acceso a puntos finales seguros en la red del plano de control. Los clústeres de Kubernetes solo se ven afectados si un usuario que no es de confianza puede modificar los objetos Node y enviarles solicitudes de proxy. Kubernetes admite el proxy de nodos, lo que permite a los clientes de kube-apiserver acceder a los puntos finales de un Kubelet para establecer conexiones con pods, recuperar registros de contenedores y más. Si bien Kubernetes ya valida la dirección de proxy para los nodos, un error en kube-apiserver hizo posible eludir esta validación. Omitir esta validación podría permitir solicitudes autenticadas destinadas a Nodos a la red privada del servidor API.