本文章聚焦于企业级集群管理控制台的安全更新与风险提醒。该解决方案作为面向混合云环境的 IT 管理产品系列的最新成员,旨在帮助企业跨多云环境实现集群治理与跨集群应用部署的统一管理能力,同时扩展现有平台能力以覆盖多 Kubernetes 集群的运行。以下内容梳理了此次安全更新的关键漏洞及影响范围。
11月10日,发布了安全更新,修复了若干重要漏洞。下列为具体漏洞信息及风险描述。
漏洞详情
- CVE-2021-3711 CVSS 评分:9.8,严重度:重要
在 OpenSSL 的 SM2 解密实现中存在缓冲区大小计算错误,可能导致缓冲区越界写入多达62字节。远程攻击者可利用该漏洞使依赖 SM2 签名/加密的应用崩溃,或在运行该应用的用户权限下执行任意代码,影响数据机密性、完整性以及系统可用性。 - CVE-2021-3656 CVSS 评分:8.8,严重度:重要
在 KVM 的 AMD 相关代码中发现用于支持 SVM 嵌套虚拟化的漏洞。处理 L1 客体提供的 VMCB 以生成/处理嵌套来宾(L2)时,因字段验证不足,恶意的 L1 可能禁用 L2 的 VMLOAD/VMSAVE 拦截和 VLS,导致 L2 来宾读写主机物理页,进而导致系统崩溃、敏感数据泄漏或来宾到主机的逃逸。 - CVE-2021-23017 CVSS 评分:8.1,严重度:重要
在 Nginx 中发现的漏洞,处理 DNS 响应时的错误可能导致在堆分配的缓冲区中写入越界点字符,覆盖下一块堆块元数据的最低有效字节,潜在触发远程代码执行,影响数据机密性、完整性与系统可用性。 - CVE-2021-32803 CVSS 评分:8.1,严重度:重要
NPM 包(node-taR)存在符号链接保护不足,导致任意文件创建/覆盖。该包旨在防止被符号链接指向的路径进行提取操作;通过防护机制和路径缓存实现保护。 - CVE-2021-32804 CVSS 评分:8.1,严重度:重要
由于绝对路径清理不足,node-taR 同样存在任意文件创建/覆盖漏洞。该机制通过在未开启 pReseRvePaths 标志时将绝对路径转换为相对路径来防止提取绝对路径。 - CVE-2020-36385 CVSS 评分:7.8,严重度:重要
在用于 RDMA 的 Linux 内核用户空间连接管理器访问中发现漏洞,可能被本地攻击者利用导致系统崩溃、内存损坏或提升权限。 - CVE-2021-0512 CVSS 评分:7.8,严重度:重要
在 USB 及 HiD 设备等用户层连接场景下,Linux 内核 HiD 子系统存在越界写入,可能被本地用户利用触发系统崩溃或权限提升。
受影响产品与版本
针对 Kubernetes 的集群管理解决方案在特定版本中受到影响,具体为某些 2.x 版本在 x86_64 架构下的实现。
解决方案与后续步骤
厂商已发布安全更新(2.4 版本及以上)。如需了解如何升级集群并应用此异步勘误,请参考官方提供的升级指南与文档,文档将及时更新以覆盖本次版本。有关应用此更新的详细步骤,请参阅官方说明及相关更新页面,以获取最新的升级指引与注意事项。
如需更多漏洞信息与升级指引,请访问相关官方页面以获取最新信息与下载链接。 [[[IMG_1]]][[[IMG_2]]][[[IMG_3]]]
