Kubernetes社区披露了secrets-store-csi-driver项目中的安全漏洞CVE-2023-2878。如果您的集群中部署了secrets-store-csi-driver机制开发的密钥凭据同步插件(例如csi-secrets-store-provider-alibabacloud),攻击者可以在一定条件下,通过组件日志获取到插件绑定的服务账户令牌,从而可能越权访问云上对应KMS密钥管理系统中存储的密钥凭据。
CVE-2023-2878漏洞被评估为中危漏洞,在CVSS的评分为6.5。关于该漏洞的详细信息,请参见#118419。
影响范围
同时满足以下条件的集群,将会在该漏洞的影响范围内:
secrets-store-csi-driver插件版本低于1.3.3,且在集群中部署使用了基于社区secrets-store-csi-driver机制开发的密钥凭据同步插件(例如csi-secrets-store-provider-alibabacloud)。
密钥凭据同步插件中配置使用了Token Requests特性。
密钥凭据同步插件的日志等级参数
-v大于等于2。
社区已在1.3.3及以上的版本中修复了此漏洞问题。
解决方案
容器服务ACK的csi-secrets-store-provider-alibabacloud插件已完成CVE-2023-2878漏洞的修复,您可以访问容器服务控制台的csi-secrets-store-provider-alibabacloud应用市场页面,安装或升级此插件至0.2.0版本。