无码国产高清影视_亚洲aⅤ日韩aⅤ无码黑人_精品视频 亚洲国内精品_免费大黄网站_偷拍久久网_国产女人高潮叫床男人桶到爽

關(guān)于 KubeSphere IDOR 安全漏洞 CVE-2024-46528 的聲明及解決方案

近期,有第三方平臺(tái)的安全技術(shù)人員發(fā)現(xiàn)了在 KubeSphere 開源版 3.4.1 及 4.1.1 上存在不安全的直接對(duì)象引用(IDOR)的漏洞,該漏洞允許低權(quán)限的通過(guò)認(rèn)證的攻擊者在沒(méi)有適當(dāng)授權(quán)檢查的情況下訪問(wèn)敏感資源。我們及時(shí)與對(duì)方進(jìn)行了聯(lián)系,并幫助對(duì)方解決了此問(wèn)題,CVE 漏洞的詳細(xì)信息及問(wèn)題處理過(guò)程可以參考以下鏈接:

CVE-2024-46528:?https://nvd.nist.gov/vuln/detail/CVE-2024-46528

IDOR Vulnerability in KubeSphere:?https://okankurtulus.com.tr/2024/09/09/idor-vulnerability-in-kubesphere/

影響范圍

  • KubeSphere 4.x 受影響版本: < 4.1.3
  • KubeSphere 3.x 受影響版本: >= 3.0.0, <= 3.4.1
  • KubeSphere Enterprise 4.x 受影響版本: < 4.1.3
  • KubeSphere Enterprise 3.x 受影響版本: >= 3.0.0, <= 3.5.0

規(guī)避方案

移除 authenticated 平臺(tái)角色非必需的資源授權(quán):

kubectl patch globalrole.iam.kubesphere.io authenticated --type merge -p '{"rules": [{"apiGroups":["monitoring.kubesphere.io","metering.kubesphere.io","monitoring.coreos.com"],"resources":["cluster"],"verbs":["list"]},{"apiGroups":["resources.kubesphere.io"],"resources":["clusters"],"verbs":["get","list"]}]}'

此變更加強(qiáng)了對(duì)普通用戶的權(quán)限約束,普通的項(xiàng)目成員在打開的頁(yè)面,如果要調(diào)用這些需要特權(quán) API 的時(shí)候會(huì)有 Forbidden 彈框。

未來(lái)的修復(fù)計(jì)劃

此漏洞風(fēng)險(xiǎn)等級(jí)不高,您可以通過(guò)以上規(guī)避方案解決此問(wèn)題,同時(shí),我們也會(huì)在 KubeSphere 下一個(gè)正式版本 4.1.3 中修復(fù)此問(wèn)題,預(yù)計(jì)發(fā)布時(shí)間為 2025 年 1 月份。

對(duì)安全的承諾

KubeSphere 持續(xù)致力于為企業(yè)客戶提供安全可靠的云原生全棧解決方案。我們重視用戶對(duì)我們平臺(tái)的信任,并努力確保我們的系統(tǒng)符合最高的安全和性能標(biāo)準(zhǔn)。同時(shí),KubeSphere 社區(qū)對(duì)?Okan Kurtulu??對(duì)此問(wèn)題的及時(shí)發(fā)現(xiàn)以及與我們的積極溝通表示極大的感謝。

更多信息

尋求有關(guān) CVE-2024-46528 及其解決方案的更多詳情的用戶可以聯(lián)系 KubeSphere 支持團(tuán)隊(duì),聯(lián)系方式為 [security@kubesphere.io]。

熱門標(biāo)簽
Ubuntu
邊緣計(jì)算
飛騰
教育
超融合
云易捷
數(shù)據(jù)
存儲(chǔ)
U10000
云服務(wù)器
RadonDB
數(shù)據(jù)庫(kù)
復(fù)制成功