关于 KubeSphere IDOR 安全漏洞 CVE-2024-46528 的声明及解决方案
2024/10/17 21:08:35
本文主要是介绍关于 KubeSphere IDOR 安全漏洞 CVE-2024-46528 的声明及解决方案,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!
近期,有第三方平台的安全技术人员发现了在 KubeSphere 开源版 3.4.1 及 4.1.1 上存在不安全的直接对象引用(IDOR)的漏洞,该漏洞允许低权限的通过认证的攻击者在没有适当授权检查的情况下访问敏感资源。我们及时与对方进行了联系,并帮助对方解决了此问题,CVE 漏洞的详细信息及问题处理过程可以参考以下链接:
CVE-2024-46528
IDOR Vulnerability in KubeSphere
影响范围
- KubeSphere 4.x 受影响版本: < 4.1.3
- KubeSphere 3.x 受影响版本: >= 3.0.0, <= 3.4.1
- KubeSphere Enterprise 4.x 受影响版本: < 4.1.3
- KubeSphere Enterprise 3.x 受影响版本: >= 3.0.0, <= 3.5.0
规避方案
移除 authenticated
平台角色非必需的资源授权:
kubectl patch globalrole.iam.kubesphere.io authenticated --type merge -p '{"rules": [{"apiGroups":["monitoring.kubesphere.io","metering.kubesphere.io","monitoring.coreos.com"],"resources":["cluster"],"verbs":["list"]},{"apiGroups":["resources.kubesphere.io"],"resources":["clusters"],"verbs":["get","list"]}]}'
此变更加强了对普通用户的权限约束,普通的项目成员在打开的页面,如果要调用这些需要特权 API 的时候会有 Forbidden 弹框。
未来的修复计划
此漏洞风险等级不高,您可以通过以上规避方案解决此问题,同时,我们也会在 KubeSphere 下一个正式版本 4.1.3 中修复此问题,预计发布时间为 2025 年 1 月份。
对安全的承诺
KubeSphere 持续致力于为企业客户提供安全可靠的云原生全栈解决方案。我们重视用户对我们平台的信任,并努力确保我们的系统符合最高的安全和性能标准。
同时,KubeSphere 社区对 Okan Kurtuluş 对此问题的及时发现以及与我们的积极沟通表示极大的感谢。
更多信息
寻求有关 CVE-2024-46528 及其解决方案的更多详情的用户可以联系 KubeSphere 支持团队,联系方式为 [security@kubesphere.io]。
KubeSphere v4 征稿启事:诚邀体验并分享最佳实践!稿件被采纳者,将获得 T 恤、帆布袋等社区礼品,优秀作者更有机会赢取 CKA 代金券大奖。投稿请微信搜索“kubesphere”联系小助手小 kk。
关于 KubeSphere
KubeSphere (https://kubesphere.io) 是在 Kubernetes 之上构建的开源容器平台,提供全栈的 IT 自动化运维的能力,简化企业的 DevOps 工作流。
KubeSphere 已被 Aqara 智能家居、本来生活、东方通信、微宏科技、东软、华云、新浪、三一重工、华夏银行、四川航空、国药集团、微众银行、紫金保险、去哪儿网、中通、中国人民银行、中国银行、中国人保寿险、中国太平保险、中国移动、中国联通、中国电信、天翼云、中移金科、Radore、ZaloPay 等海内外数万家企业采用。KubeSphere 提供了开发者友好的向导式操作界面和丰富的企业级功能,包括 Kubernetes 多云与多集群管理、DevOps (CI/CD)、应用生命周期管理、边缘计算、微服务治理 (Service Mesh)、多租户管理、可观测性、存储与网络管理、GPU support 等功能,帮助企业快速构建一个强大和功能丰富的容器云平台。
✨ GitHub:https://github.com/kubesphere
微信群:请搜索添加群助手微信号 kubesphere
💻 官网(中国站):https://kubesphere.io/zh
🙋 论坛:https://ask.kubesphere.io/forum/
这篇关于关于 KubeSphere IDOR 安全漏洞 CVE-2024-46528 的声明及解决方案的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!
- 2024-12-24怎么切换 Git 项目的远程仓库地址?-icode9专业技术文章分享
- 2024-12-24怎么更改 Git 远程仓库的名称?-icode9专业技术文章分享
- 2024-12-24更改 Git 本地分支关联的远程分支是什么命令?-icode9专业技术文章分享
- 2024-12-24uniapp 连接之后会被立马断开是什么原因?-icode9专业技术文章分享
- 2024-12-24cdn 路径可以指定规则映射吗?-icode9专业技术文章分享
- 2024-12-24CAP:Serverless?+AI?让应用开发更简单
- 2024-12-23新能源车企如何通过CRM工具优化客户关系管理,增强客户忠诚度与品牌影响力
- 2024-12-23原创tauri2.1+vite6.0+rust+arco客户端os平台系统|tauri2+rust桌面os管理
- 2024-12-23DevExpress 怎么实现右键菜单(Context Menu)显示中文?-icode9专业技术文章分享
- 2024-12-22怎么通过控制台去看我的页面渲染的内容在哪个文件中呢-icode9专业技术文章分享