Rancher Kubernetes Engine 敏感信息存储不当漏洞(CVE-2023-32191)预警
1、基本情况
Rancher Kubernetes Engine 中存在一个敏感信息存储不当漏洞,该漏洞允许攻击者获取 RKE 集群的 API 服务器证书和密钥。该漏洞的根本原因是 RKE 将敏感凭据存储在集群命名空间 kube-system 中调用的 ConfigMap 中。ConfigMap 是一种用于存储和管理 Kubernetes 配置数据的资源。默认情况下,ConfigMap 中的数据是可读的,这意味着任何具有访问集群 API 服务器权限的用户都可以读取 ConfigMap 中的数据。
近日,监测到 Rancher Kubernetes Engine 中存在一个敏感信息存储不当漏洞,漏洞编号分别为:CVE-2023-32191。Rancher Kubernetes Engine(RKE)是一个广泛使用的 Kubernetes 发行版,可简化 Kubernetes 的安装和操作。
目前该漏洞技术细节已在互联网上公开,鉴于此漏洞影响范围较大,建议广大用户做好资产自查以及预防工作,以免遭受黑客攻击。
2、影响范围
RKE < 1.4.19
RKE < 1.5.10
Rancher < 2.7.14
Rancher < 2.8.5
3、处置建议
为了修复此漏洞,RKE 用户必须升级到以下修补版本:
RKE >= 1.4.19
RKE >= 1.5.10
Rancher >= 2.7.14
Rancher >= 2.8.5
下载链接:
https://github.com/rancher/rke/releases
https://github.com/rancher/rancher/releases
4、参考链接
1) https://github.com/advisories/GHSA-6gr4-52w6-vmqx
2) https://github.com/rancher/rke/releases/tag/v1.4.19