9月18日消息,据安全公司Akamai的报告,Google公司开源的一个容器集群管理系统Kubernetes(简称k8s)中存在高危漏洞CVE-2023-3676,发现该漏洞时,识别了另外两个命令注入漏洞,即CVE-2023-3955和CVE-2023-3893。
这些漏洞具有相同的根本原因,即不安全的函数调用和缺乏用户输入清理,允许在Kubernetes集群内的所有Windows端点上以SYSTEM权限远程执行代码,且此漏洞可在Kubernetes的默认安装上被利用。
Kubernetes团队选择通过从环境变量而不是用户输入传递参数来修补此类漏洞,所有低于1.28的Kubernetes版本都容易受到此CVE的影响。如果用户无法立即修补,建议使用OPA(输入开放策略代理)或RBAC模型(一种基于角色的访问控制模型)等方式防御此漏洞。