近期,Fluid社区披露了安全漏洞CVE-2023-51699。攻击者在获得创建和修改Dataset和JuiceFSRuntime权限的前提下,通过修改其CRD资源,可能对JuiceFSRuntime所部署的工作节点产生潜在的提权安全风险。CVE-2023-51699漏洞被评估为中危漏洞,CVSS的评分为4.0。
影响范围
集群的ack-fluid组件版本低于v1.0.6,且同时使用了JuicefsRuntime,将会在该漏洞的影响范围内。
漏洞影响
如果攻击者获得了创建或者更新Dataset和JuiceFSRuntime的权限,他们可能未被授权即可获得某个特定Kubernetes工作节点的访问权限。
解决方案
将集群的ack-fluid组件升级至v1.0.7及以上版。关于如何升级ack-fluid组件,请参见【组件升级】云原生AI套件ack-fluid组件升级公告。
防范措施
避免提供公网访问ACK集群的方式。如需精准地访问并控制API Server,请参见配置集群API Server的访问控制策略。
对ACK集群基于RAM和RBAC进行精细化授权,确保只有可信用户才能创建Fluid的自定义资源。详细信息,请参见配置RAM用户或RAM角色RBAC权限。
通过使用ACK的集群API Server审计功能来监测不正常的Dataset的创建行为。