官方 CVE 提要
功能状态:
Kubernetes v1.27 [beta]这是 Kubernetes 安全响应委员会发布的官方 CVE 的社区维护列表。有关详细信息,请参阅 Kubernetes 安全和披露信息。
Kubernetes 项目发布了一个以编程方式可访问的已发布安全问题提要,该提要在 JSON 提要 和 RSS 提要 格式中。您可以通过执行以下命令来访问它
curl -Lv https://k8s.io/docs/reference/issues-security/official-cve-feed/index.json
curl -Lv https://k8s.io/docs/reference/issues-security/official-cve-feed/feed.xml
| CVE ID | 问题摘要 | CVE GitHub 问题 URL |
|---|---|---|
| CVE-2024-5321 | Windows 容器日志上的权限错误 | #126161 |
| CVE-2024-3744 | azure-file-csi-driver 在日志中泄露服务帐户令牌 | #124759 |
| CVE-2024-3177 | 绕过 ServiceAccount 准入插件强加的可安装机密策略 | #124336 |
| CVE-2023-5528 | 树内存储插件中的输入清理不足会导致 Windows 节点上的权限提升 | #121879 |
| CVE-2023-3955 | Windows 节点上的输入清理不足会导致权限提升 | #119595 |
| CVE-2023-3893 | kubernetes-csi-proxy 上的输入清理不足会导致权限提升 | #119594 |
| CVE-2023-3676 | Windows 节点上的输入清理不足会导致权限提升 | #119339 |
| CVE-2023-2431 | 绕过 seccomp 配置文件执行 | #118690 |
| CVE-2023-2728 | 绕过 ImagePolicyWebhook 强加的策略,并绕过 ServiceAccount 准入插件强加的可安装机密策略 | #118640 |
| CVE-2023-2727 | 绕过 ImagePolicyWebhook 强加的策略,并绕过 ServiceAccount 准入插件强加的可安装机密策略 | #118640 |
| CVE-2023-2878 | secrets-store-csi-driver 在日志中泄露服务帐户令牌 | #118419 |
| CVE-2022-3294 | 代理时并不总是验证节点地址 | #113757 |
| CVE-2022-3162 | 对自定义资源的未经授权读取 | #113756 |
| CVE-2022-3172 | 聚合 API 服务器会导致客户端重定向(SSRF) | #112513 |
| CVE-2021-25749 | Windows 容器的 `runAsNonRoot` 逻辑绕过 | #112192 |
| CVE-2021-25741 | 符号链接交换可以允许访问主机文件系统 | #104980 |
| CVE-2021-25737 | EndpointSlice 验证中的漏洞使主机网络劫持成为可能 | #102106 |
| CVE-2021-3121 | 进程可能在收到恶意 protobuf 消息时出现故障 | #101435 |
| CVE-2021-25735 | 验证准入 Webhook 未观察到某些先前字段 | #100096 |
| CVE-2020-8554 | 使用 LoadBalancer 或 ExternalIPs 的中间人攻击 | #97076 |
| CVE-2020-8566 | 当 loglevel >= 4 时,Ceph RBD adminSecrets 在日志中公开 | #95624 |
| CVE-2020-8565 | CVE-2019-11250 的修复不完整,允许在 logLevel >= 9 时在日志中泄露令牌 | #95623 |
| CVE-2020-8564 | 当文件格式错误且日志级别 >= 4 时,Docker 配置机密泄露 | #95622 |
| CVE-2020-8563 | 使用 vSphere 提供程序时,kube-controller-manager 中的机密泄露 | #95621 |
| CVE-2020-8557 | 通过写入容器 /etc/hosts 对节点磁盘进行 DOS 攻击 | #93032 |
| CVE-2020-8559 | 从受感染的节点到集群的权限提升 | #92914 |
| CVE-2020-8558 | 节点设置允许相邻主机绕过本地主机边界 | #92315 |
| CVE-2020-8555 | kube-controller-manager 中的半盲 SSRF | #91542 |
| CVE-2020-10749 | 仅 IPv4 集群容易受到通过 IPv6 流氓路由器广告的 MitM 攻击 | #91507 |
| CVE-2019-11254 | 来自恶意 YAML 负载的 kube-apiserver 拒绝服务漏洞 | #89535 |
| CVE-2020-8552 | apiserver DoS(oom) | #89378 |
| CVE-2020-8551 | 通过 API 对 Kubelet 进行 DoS 攻击 | #89377 |
| CVE-2019-11251 | kubectl cp 符号链接漏洞 | #87773 |
| CVE-2018-1002102 | 未经验证的重定向 | #85867 |
| CVE-2019-11255 | CSI 卷快照、克隆和调整大小功能可能导致对卷数据的未经授权访问或修改 | #85233 |
| CVE-2019-11253 | Kubernetes API Server JSON/YAML 解析易受资源耗尽攻击 | #83253 |
| CVE-2019-11250 | 在日志中显示承载令牌 | #81114 |
| CVE-2019-11248 | /debug/pprof 在 kubelet 的 healthz 端口上公开 | #81023 |
| CVE-2019-11249 | CVE-2019-1002101 和 CVE-2019-11246 的修复不完整,kubectl cp 潜在的目录遍历 | #80984 |
| CVE-2019-11247 | API 服务器允许通过错误的范围访问自定义资源 | #80983 |
| CVE-2019-11245 | 容器 uid 在第一次重启后或如果映像已拉取到节点上,则更改为 root | #78308 |
| CVE-2019-11243 | rest.AnonymousClientConfig() 未从 rest.InClusterConfig() 创建的配置中删除服务帐户凭据 | #76797 |
| CVE-2019-11244 | `kubectl:-http-cache=<world-accessible dir>` 创建对全世界可写的缓存架构文件 | #76676 |
| CVE-2019-1002100 | json-patch 请求可能会耗尽 apiserver 资源 | #74534 |
| CVE-2018-1002105 | kube-apiserver 中的代理请求处理可能会留下易受攻击的 TCP 连接 | #71411 |
| CVE-2018-1002101 | smb 挂载安全问题 | #65750 |
| CVE-2018-1002100 | Kubectl 复制不检查其目标目录之外的路径。 | #61297 |
| CVE-2017-1002102 | 原子写入卷处理允许在主机文件系统中任意删除文件 | #60814 |
| CVE-2017-1002101 | 子路径卷挂载处理允许在主机文件系统中任意访问文件 | #60813 |
| CVE-2017-1002100 | Azure PV 应该是私有范围,而不是容器范围 | #47611 |
| CVE-2017-1000056 | PodSecurityPolicy 准入插件授权错误 | #43459 |
此提要会自动刷新,从 CVE 发布的时间到它在此提要中可访问的时间之间存在明显的但很小的延迟(几分钟到几小时)。
此提要的真实来源是一组 GitHub 问题,这些问题通过受控制和限制的标签 `official-cve-feed` 进行过滤。原始数据存储在 Google Cloud Bucket 中,该存储桶仅可由社区中少数受信任的成员写入。
上次修改时间:2023 年 4 月 11 日下午 7:18 PST:将开关从 alpha 更改为 beta (ec9d29c0df)