Rancher 的 RKE1 加密配置以纯文本形式保存在集群 AppliedSpec 中(CVE-2024-22032)
CVE编号
CVE-2024-22032利用情况
暂无补丁情况
N/A披露时间
2024-10-16漏洞描述
存在一个漏洞,当启用秘密加密配置时,RKE1集群会不断地进行协调。在协调过程中,Kube API的秘密值以明文形式写入AppliedSpec。集群拥有者、集群成员和项目成员(对于集群内的项目)都具有通过apiserver查看集群对象的RBAC权限。解决建议
"将组件 rancher 升级至 2.8.5 及以上版本""将组件 rancher 升级至 2.7.14 及以上版本""将组件 github.com/rancher/rancher 升级至 2.8.5 及以上版本""将组件 github.com/rancher/rancher 升级至 2.7.14 及以上版本"
参考链接 |
|
|---|---|
| https://bugzilla.suse.com/show_bug.cgi?id=CVE-2024-22032 | |
| https://github.com/rancher/rancher/security/advisories/GHSA-q6c7-56cq-g2wm |
- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
| CWE-ID | 漏洞类型 |
| CWE-200 | 信息暴露 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论