中危 Kubernetes 验证准入 Webhook 绕过（CVE-2021-25735）

CVE编号

CVE-2021-25735

利用情况

EXP 已公开

补丁情况

官方补丁

披露时间

2021-09-06

漏洞描述

kube-apiserver 是 Kubernetes 开源的一个组件。kube-apiserver 提供了 Kubernetes 各类资源对象（pod,RC,Service等）的增删改查及watch等 HTTP Rest 接口，是整个系统的数据总线和数据中心。 kube-apiserver 存在安全漏洞，攻击者可以在某些场景下绕过 Validating Admission Webhook 的准入机制更新节点，该漏洞仅影响使用了 Validating Admission Webhook ，并且该 Webhook 会依赖节点更新前原状态的某些字段进行准入校验的集群。 影响版本： v1.20.0 <= kube-apiserver <= v1.20.5 v1.19.0 <= kube-apiserver <= v1.19.9 kube-apiserver <= v1.18.17 修复版本： kube-apiserver v1.21.0 kube-apiserver v1.20.6 kube-apiserver v1.19.10 kube-apiserver v1.18.18

解决建议

建议将该组件升级至修复版本。

参考链接
https://github.com/kubernetes/kubernetes/issues/100096
https://groups.google.com/g/kubernetes-security-announce/c/FKAGqT4jx9Y

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	kubernetes	kubernetes	*		Up to (excluding) 1.18.18
	运行在以下环境
	应用	kubernetes	kubernetes	*	From (including) 1.19.0	Up to (excluding) 1.19.10
	运行在以下环境
	应用	kubernetes	kubernetes	*	From (including) 1.20.0	Up to (excluding) 1.20.6
	运行在以下环境
	系统	alpine_3.14	k3s	*		Up to (excluding) 1.20.6.1-r0
	运行在以下环境
	系统	alpine_3.15	k3s	*		Up to (excluding) 1.20.6.1-r0
	运行在以下环境
	系统	alpine_3.16	k3s	*		Up to (excluding) 1.20.6.1-r0
	运行在以下环境
	系统	alpine_3.17	k3s	*		Up to (excluding) 1.20.6.1-r0
	运行在以下环境
	系统	alpine_3.18	k3s	*		Up to (excluding) 1.20.6.1-r0
	运行在以下环境
	系统	alpine_edge	k3s	*		Up to (excluding) 1.20.6.1-r0
	运行在以下环境
	系统	debian_11	kubernetes	*		Up to (excluding) 1.20.5+really1.20.2-1
	运行在以下环境
	系统	debian_12	kubernetes	*		Up to (excluding) 1.20.5+really1.20.2-1
	运行在以下环境
	系统	debian_sid	kubernetes	*		Up to (excluding) 1.20.5+really1.20.2-1

阿里云评分 4.0

• 攻击路径 本地
• 攻击复杂度 容易
• 权限要求 无需权限
• 影响范围 有限影响
• EXP成熟度 EXP 已公开
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 N/A

CWE-ID	漏洞类型
CWE-863	授权机制不正确
NVD-CWE-Other

Exp相关链接

• https://github.com//darryk10/CVE-2021-25735

- avd.aliyun.com