网络安全

Network Security

当前位置: 首页 > 网络安全 > 网络安全预警信息 > 正文

关于Kubernetes Image Builder默认凭证漏洞(CVE-2024-9486)的安全预警

日期:2024-10-24阅读:

关于Kubernetes Image Builder默认凭证漏洞(CVE-2024-9486)的安全预警

一、 基本情况

Kubernetes是一个跨主机集群的开源容器调度平台,旨在自动化部署、扩展和管理容器化的应用程序。Kubernetes Image Builder 是一款用于跨多个基础设施提供商构建 Kubernetes 虚拟机(VM)镜像的工具,它支持多种提供者,如Proxmox ProviderNutanixOVAQEMU等,以实现灵活的镜像构建和管理,使得用户能够在不同环境中部署和管理虚拟机镜像。

二、 漏洞描述

Kubernetes发布安全公告,披露Kubernetes Image Builder v0.1.37 及之前的版本中通过 Proxmox Provider 构建的VM镜像中存在默认凭证漏洞(SSH账户builder/builder),由于这些默认凭证未在镜像构建完成后被修改或禁用,导致未授权攻击者可以利用它们通过SSH连接到使用受影响镜像的虚拟机,从而获得对目标节点的访问权限。

三、 影响范围

Kubernetes Image Builder <= v0.1.37

四、 修复建议

目前该漏洞已经修复,受影响用户可使用Kubernetes Image Builder >= v0.1.38重建受影响的VM镜像,这些版本在构建过程中设置随机生成的密码,并在构建完成后禁用默认的builder帐户。

下载链接:

https://github.com/kubernetes-sigs/image-builder/releases/tag/v0.1.38

注:只有当Kubernetes 集群的节点使用通过Image Builder项目及其Proxmox provider创建的VM镜像时,Kubernetes集群才会受到该漏洞影响。

五、 参考链接

https://discuss.kubernetes.io/t/security-advisory-cve-2024-9486-and-cve-2024-9594-vm-images-built-with-kubernetes-image-builder-use-default-credentials/30119/1

https://github.com/kubernetes/kubernetes/issues/128006

https://nvd.nist.gov/vuln/detail/CVE-2024-9486

 

我是盾盾