一、漏洞简介¶
1.1 漏洞背景¶
Kubernetes 支持 Windows 节点,但 Windows 容器日志文件的权限配置存在问题。
1.2 漏洞概述(包含 CVE 编号、危害等级、漏洞类型、披露时间等)¶
| 项目 | 内容 |
|---|---|
| 漏洞编号 | CVE-2024-5321 |
| 危害等级 | MEDIUM / 6.1 |
| 漏洞类型 | Windows容器日志权限 |
| 披露时间 | 2024-07-18 |
| 影响组件 | Kubernetes |
- CVE编号: CVE-2024-5321
- 危害等级: 中危 (Medium)
- CVSS评分: 5.5
- CWE: CWE-276 (Incorrect Default Permissions)
- 漏洞类型: 权限配置不当
补充核验信息:公开时间:2024-07-18;NVD 评分:6.1(MEDIUM);CWE:CWE-276。
二、影响范围¶
2.1 受影响的版本¶
- 含 Windows 节点的 Kubernetes 集群
2.2 触发条件¶
- 集群包含 Windows 节点
BUILTIN\Users或NT AUTHORITY\Authenticated Users可访问容器日志
2.2 不受影响的版本¶
- 暂未找到权威信息,建议以厂商安全公告、修复提交记录或发布说明为准。
2.3 触发条件(如特定模块、特定配置、特定运行环境等)¶
- 需要存在可被远程或本地触达的相关接口、服务、插件或默认配置条件;原文与公开资料未给出更精确的统一触发条件。
三、漏洞详情与原理解析¶
3.1 漏洞触发机制¶
在 Windows 节点上:
- BUILTIN\Users 可能读取容器日志
- NT AUTHORITY\Authenticated Users 可能修改容器日志
3.2 源码层面的根因分析(结合源码与补丁对比)¶
Windows 容器日志目录的 ACL 配置不正确,未正确限制访问权限。
四、漏洞复现(可选)¶
4.1 环境搭建¶
需要 Windows 节点的 Kubernetes 集群。
4.2 PoC 演示与测试过程¶
在 Windows 节点上检查日志文件权限:
icacls C:\var\log\containers\*
五、修复建议与缓解措施¶
5.1 官方版本升级建议¶
升级到修复版本的 Kubernetes。
5.2 临时缓解方案(如修改配置文件、关闭相关模块、增加 WAF 规则等)¶
手动调整日志目录权限:
icacls C:\var\log\containers /inheritance:r
icacls C:\var\log\containers /grant Administrators:F
icacls C:\var\log\containers /grant SYSTEM:F
六、参考信息 / 参考链接¶
6.1 官方安全通告¶
- https://github.com/kubernetes/kubernetes/issues/126161
6.2 其他技术参考资料¶
- NVD:https://nvd.nist.gov/vuln/detail/CVE-2024-5321
- CVE:https://www.cve.org/CVERecord?id=CVE-2024-5321
- http://www.openwall.com/lists/oss-security/2024/07/17/3
- https://github.com/kubernetes/kubernetes/issues/126161
- https://groups.google.com/g/kubernetes-security-announce/c/81c0BHkKNt0