Kubernetes社区披露了与Windows节点相关的漏洞CVE-2024-5321。如果Kubernetes集群中存在Windows节点,Windows预置的安全组BUILTIN\Users可能会读取节点上的容器日志,而安全组NT AUTHORITY\Authenticated Users可能有权限修改节点容器日志,导致系统安全风险。
该漏洞被评估为中危漏洞,在CVSS的评分为6.1。 关于该漏洞的更多信息,请参见#126161。
影响范围
下列社区版本均在漏洞影响范围内:
kubelet ≤ 1.27.15
kubelet ≤ 1.28.11
kubelet ≤ 1.29.6
kubelet ≤ 1.30.2
该漏洞只影响包含Windows节点的集群,您可以通过以下命令,查看集群中是否存在Windows节点。
kubectl get nodes -l kubernetes.io/os=windows解决方案
如果您的集群中存在Windows节点,请您关注相关公告并及时升级节点kubelet以修复该漏洞。您可以通过升级节点池来完成kubelet的升级,请参见升级节点池。