云应用平台特权提升访问控制漏洞警报:请尽快升级
某企业级云应用平台帮助企业在物理、虚拟与公有云之间开发、部署和管理基于容器的应用,基于企业级 Kubernetes 技术构建,专为内网部署或私有云场景而设计,支持全栈自动化运维,覆盖混合云与多云部署。
5月11日,厂商发布了安全更新,修复了该平台中发现的一些关键漏洞。以下为漏洞要点:
漏洞详情
CVE-2021-3495,CVSS 评分:8.8,严重等级:高。
在 kiali-operator 中发现了错误的访问控制漏洞。该缺陷使攻击者能够以部署 kiali 操作数的身份对群集具有基本访问权限,并可利用该漏洞将镜像部署到群集中的任意位置,从而可能获取对特权服务账户令牌的访问权限。该漏洞对数据机密性、完整性以及系统可用性构成最大威胁。
受影响的版本与平台
服务网格 2.0,适用于 Linux x86_64。
服务网格 2.0,适用于 Linux Power (ppc64le)。
服务网格 2.0,适用于 Linux IBM Z (s390x)。
解决方案
相关更新现已发布,适用于受影响的服务网格组件。
如需获取更新信息,请参阅官方文档中的更新指南。有关漏洞信息与升级流程的更多内容,请参考官方资料。
