Rancher 的 RKE1 加密配置以纯文本形式保存在集群 AppliedSpec 中(CVE-2024-22032)

admin 2024-10-18 22:58:38 Ali_nvd 来源:ZONE.CI 全球网 0 阅读模式
Rancher 的 RKE1 加密配置以纯文本形式保存在集群 AppliedSpec 中(CVE-2024-22032)

CVE编号

CVE-2024-22032

利用情况

暂无

补丁情况

N/A

披露时间

2024-10-16
漏洞描述
存在一个漏洞,当启用秘密加密配置时,RKE1集群会不断地进行协调。在协调过程中,Kube API的秘密值以明文形式写入AppliedSpec。集群拥有者、集群成员和项目成员(对于集群内的项目)都具有通过apiserver查看集群对象的RBAC权限。
解决建议
"将组件 rancher 升级至 2.8.5 及以上版本""将组件 rancher 升级至 2.7.14 及以上版本""将组件 github.com/rancher/rancher 升级至 2.8.5 及以上版本""将组件 github.com/rancher/rancher 升级至 2.7.14 及以上版本"
参考链接
https://bugzilla.suse.com/show_bug.cgi?id=CVE-2024-22032
https://github.com/rancher/rancher/security/advisories/GHSA-q6c7-56cq-g2wm
CVSS3评分 N/A
  • 攻击路径 N/A
  • 攻击复杂度 N/A
  • 权限要求 N/A
  • 影响范围 N/A
  • 用户交互 N/A
  • 可用性 N/A
  • 保密性 N/A
  • 完整性 N/A
N/A
CWE-ID 漏洞类型
CWE-200 信息暴露
- avd.aliyun.com
weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论:0   参与:  0