AWS IAM Authenticator for Kubernetes验证绕过漏洞CVE-2022-2385

近日,我司监测到Kubernetes发布安全公告,修复了一个存在于AWS IAM Authenticator的验证绕过漏洞。当用户使用AccessKeyID模板参数构造用户名并根据用户名提供不同级别的访问权限时,AWS IAM Authenticator版本v0.5.2到v0.5.8中容易导致AccessKeyID验证绕过, 成功利用此漏洞可实现在目标Kubernetes集群上提升权限。

 

AWS IAM Authenticator for Kubernetes是适用于Kubernetes的AWS IAM身份验证器,它使用AWS IAM凭证对Kubernetes集群进行身份验证。

 

影响版本:

  • 0.5.2 <= AWS IAM Authenticator <= 0.5.8

 

安全版本:

  • AWS IAM Authenticator 0.5.9

 

修复建议:

官方已发布安全版本,请及时下载更新,下载地址:

https://github.com/kubernetes-sigs/aws-iam-authenticator/releases/tag/v0.5.9

发表评论

评论已关闭。

相关文章