首页 > 其他分享 >关于 KubeSphere IDOR 安全漏洞 CVE-2024-46528 的声明及解决方案

关于 KubeSphere IDOR 安全漏洞 CVE-2024-46528 的声明及解决方案

时间:2024-10-17 15:32:52浏览次数:8  
标签:IDOR 46528 https KubeSphere 2024 io CVE kubesphere

近期,有第三方平台的安全技术人员发现了在 KubeSphere 开源版 3.4.1 及 4.1.1 上存在不安全的直接对象引用(IDOR)的漏洞,该漏洞允许低权限的通过认证的攻击者在没有适当授权检查的情况下访问敏感资源。我们及时与对方进行了联系,并帮助对方解决了此问题,CVE 漏洞的详细信息及问题处理过程可以参考以下链接:

CVE-2024-46528

IDOR Vulnerability in KubeSphere

影响范围

  • KubeSphere 4.x 受影响版本: < 4.1.3
  • KubeSphere 3.x 受影响版本: >= 3.0.0, <= 3.4.1
  • KubeSphere Enterprise 4.x 受影响版本: < 4.1.3
  • KubeSphere Enterprise 3.x 受影响版本: >= 3.0.0, <= 3.5.0

规避方案

移除 authenticated 平台角色非必需的资源授权:

kubectl patch globalrole.iam.kubesphere.io authenticated --type merge -p '{"rules": [{"apiGroups":["monitoring.kubesphere.io","metering.kubesphere.io","monitoring.coreos.com"],"resources":["cluster"],"verbs":["list"]},{"apiGroups":["resources.kubesphere.io"],"resources":["clusters"],"verbs":["get","list"]}]}'

此变更加强了对普通用户的权限约束,普通的项目成员在打开的页面,如果要调用这些需要特权 API 的时候会有 Forbidden 弹框。

未来的修复计划

此漏洞风险等级不高,您可以通过以上规避方案解决此问题,同时,我们也会在 KubeSphere 下一个正式版本 4.1.3 中修复此问题,预计发布时间为 2025 年 1 月份。

对安全的承诺

KubeSphere 持续致力于为企业客户提供安全可靠的云原生全栈解决方案。我们重视用户对我们平台的信任,并努力确保我们的系统符合最高的安全和性能标准。
同时,KubeSphere 社区对 Okan Kurtuluş 对此问题的及时发现以及与我们的积极沟通表示极大的感谢。

更多信息

寻求有关 CVE-2024-46528 及其解决方案的更多详情的用户可以联系 KubeSphere 支持团队,联系方式为 [[email protected]]。

KubeSphere v4 征稿启事:诚邀体验并分享最佳实践!稿件被采纳者,将获得 T 恤、帆布袋等社区礼品,优秀作者更有机会赢取 CKA 代金券大奖。投稿请微信搜索“kubesphere”联系小助手小 kk。

关于 KubeSphere

KubeSphere (https://kubesphere.io)是在 Kubernetes 之上构建的开源容器平台,提供全栈的 IT 自动化运维的能力,简化企业的 DevOps 工作流。

KubeSphere 已被 Aqara 智能家居、本来生活、东方通信、微宏科技、东软、华云、新浪、三一重工、华夏银行、四川航空、国药集团、微众银行、紫金保险、去哪儿网、中通、中国人民银行、中国银行、中国人保寿险、中国太平保险、中国移动、中国联通、中国电信、天翼云、中移金科、Radore、ZaloPay 等海内外数万家企业采用。KubeSphere 提供了开发者友好的向导式操作界面和丰富的企业级功能,包括 Kubernetes 多云与多集群管理、DevOps (CI/CD)、应用生命周期管理、边缘计算、微服务治理 (Service Mesh)、多租户管理、可观测性、存储与网络管理、GPU support 等功能,帮助企业快速构建一个强大和功能丰富的容器云平台。

✨ GitHub:https://github.com/kubesphere

标签:IDOR,46528,https,KubeSphere,2024,io,CVE,kubesphere
From: https://www.cnblogs.com/kubesphere/p/18472421

相关文章

  • 开发者故事:基于 KubeSphere LuBan 架构打造下一代云交付平台
    前言在KubeSphereMarketplace,个人开发者的创意和才能正在逐渐崭露头角。今日,我们荣幸地向大家介绍Shipper云交付平台的开发者——凌波,一位云原生领域的资深专家。凌波巧妙融合KubeSphere平台的特性,通过原生适配的精湛技艺,匠心独运地打造了Shipper平台。现在,让我们一同走......
  • Kubesphere4.1创建DevOps项目流程
    目的:Kubesphere4.1创建DevOps项目自动化完成前置:1.已经完成完成DevOps插件2.完成Docker私人仓库的搭建(DockerHub国内访问有问题,最好自己搭建,可以选用DockerHarbor)一、创建DevOps项目1.安装完成DevOps插件后,刷新页面,点击创建。完成创建并保存。二、创建凭证 需要......
  • KubeSphere 社区双周报|2024.09.27-10.10
    KubeSphere社区双周报主要整理展示新增的贡献者名单和证书、新增的讲师证书以及两周内提交过commit的贡献者,并对近期重要的PR进行解析,同时还包含了线上/线下活动和布道推广等一系列社区动态。本次双周报涵盖时间为:2024.09.27-10.10。贡献者名单新晋KubeSpherecontribut......
  • 鲲鹏(arm64)+麒麟V10离线部署KubeSphere3.4.1(精简版 离线包Windows制作)
    前提条件Windows上安装DockerDesktop+WSL。麒麟V10k8s系统初始化的依赖已下载(若没下载过,可参考上篇至鲲鹏麒麟服务器下载或Windows手动下载)Windows手动下载,地址:https://update.cs2c.com.cn/NS/V10/V10SP2/os/adv/lic/base/aarch64/Packages/开始制作2.......
  • KubeSphere 社区双周报|2024.09.13-09.26
    KubeSphere社区双周报主要整理展示新增的贡献者名单和证书、新增的讲师证书以及两周内提交过commit的贡献者,并对近期重要的PR进行解析,同时还包含了线上/线下活动和布道推广等一系列社区动态。本次双周报涵盖时间为:2024.09.13-09.26。贡献者名单新晋KubeSpherecontribu......
  • KubeSphere的三种部署方式
    KubeSphere参考官方网站:什么是KubeSphere概述KubeSphere是在Kubernetes之上构建的面向云原生应用的分布式操作系统,完全开源,支持多云与多集群管理,提供全栈的IT自动化运维能力,简化企业的DevOps工作流。它的架构可以非常方便地使第三方应用与云原生生态组件进行即插......
  • KubeSphere 社区双周报| 2024.08.30-09.12
    KubeSphere社区双周报主要整理展示新增的贡献者名单和证书、新增的讲师证书以及两周内提交过commit的贡献者,并对近期重要的PR进行解析,同时还包含了线上/线下活动和布道推广等一系列社区动态。本次双周报涵盖时间为:2024.08.30-09.12。贡献者名单近期重要更新KubeSphereK......
  • KubeSphere 社区双周报| 2024.08.16-08.29
    KubeSphere社区双周报主要整理展示新增的贡献者名单和证书、新增的讲师证书以及两周内提交过commit的贡献者,并对近期重要的PR进行解析,同时还包含了线上/线下活动和布道推广等一系列社区动态。本次双周报涵盖时间为:2024.08.16-08.29。贡献者名单新晋KubeSpherecontribu......
  • KubeSphere 添加节点
    首先感谢这份博客https://my.oschina.net/u/4197945/blog/15510668  作者:运维有术星主 参考KubeSphere官网文档:https://www.kubesphere.io/zh/docs/v3.4/devops-user-guide/how-to-use/pipelines/create-a-pipeline-using-graphical-editing-panel/ 此份文档记录配置过......
  • 云原生周刊:KubeSphere 宣布开源 Thanos 的企业级发行版 Whizard
    开源项目推荐AdmiraltyAdmiralty是一个Kubernetes控制器系统,可以智能地在多个集群之间调度工作负载。它使用简单,并且易于与其他工具集成。CozystackCozystack是一个免费的PaaS平台和框架,用于构建云服务。通过Cozystack,你可以将一组服务器转变为一个智能系统,并通过简单......