7*24小时服务热线   021-20685566
it-support@shanghaitech.edu.cn

关于Kubernetes镜像构建器允许攻击者Root级访问权限(CVE-2024-9486)的风险提示

日期:2024-10-23文章来源:图书信息中心

一、背景介绍

近日,市委网信办监测到Kubernetes镜像构建器中存在严重安全漏洞(CVE-2024-9486)。攻击者可在特定情况下获得Root级访问权限,从而执行任意命令、修改系统文件和访问敏感数据。建议受影响用户尽快升级到安全版本。

1.1漏洞描述

Kubernetes,简称K8s,是一个开源的,用于管理云平台中多个主机上的容器化应用。CVE-2024-9486漏洞存在于Kubernetes镜像构建器中,攻击者可能针对镜像构建过程,注入恶意代码或配置,或者通过受损的镜像或构建工具,利用该漏洞获得对底层节点的根级访问权限。

1.2漏洞编号

CVE-2024-9486

1.3漏洞等级

高危

二、修复建议

2.1受影响的版本

Kubernetes<=0.1.37

2.2修复建议

目前官方已经发布了解决此漏洞的软件更新,建议受影响用户尽快升级Kubernetes组件(包括镜像构建器),更新到包含CVE-2024-9486补丁的最新版本。

参考链接:

https://discuss.kubernetes.io/t/security-advisory-cve-2024-9486-and-cve-2024-9594-vm-images-built-with-kubernetes-image-builder-use-default-credentials/30119/1

https://github.com/kubernetes/kubernetes/issues/128006

https://nvd.nist.gov/vuln/detail/CVE-2024-9486