Kubernetes 安全响应委员会披露了 Kubernetes Image Builder 中的两个安全漏洞（CVE-2024-9486 和 CVE-2024-9594），这些漏洞可能允许攻击者获得对虚拟机 （VM） 的 root 访问权限。这些漏洞源于在映像构建过程中使用默认凭证。

CVE-2024-9486： Proxmox 提供商风险最高

CVE-2024-9486 (CVSS 9.8)是一个更严重的漏洞，特别影响使用 Proxmox 提供商构建的镜像。“安全公告警告说：”使用 Proxmox 提供商构建的虚拟机镜像不会禁用这些默认凭据，使用由此生成的镜像的节点可能可以通过这些默认凭据进行访问。这意味着攻击者可以利用这些凭据完全控制受影响的虚拟机。

CVE-2024-9594： 其他提供商也受影响

CVE-2024-9594 (CVSS 6.3) 影响使用 Nutanix、OVA、QEMU 或 raw 提供商构建的映像。虽然这些映像在构建过程中也使用默认凭据，但完成后这些凭据将被禁用。但是，”这些镜像在镜像构建过程中存在漏洞，只有当攻击者能够进入正在进行镜像构建的虚拟机，并在镜像构建过程中利用该漏洞修改镜像时，才会受到影响。

我是否存在漏洞？

运行使用 Kubernetes Image Builder v0.1.37 或更早版本构建的虚拟机映像的集群和任何上述提供商都有潜在风险。要检查您的 Image Builder 版本，可以使用安全公告中提供的命令，例如用于 git 克隆的 make version 或用于发布容器映像的 docker run -rm <image pull spec> version。

减轻威胁

Kubernetes 安全响应委员会敦促用户使用 Image Builder v0.1.38 或更高版本重建任何受影响的映像，其中包含必要的修复。对于 CVE-2024-9486，临时缓解措施包括使用 usermod -L builder 命令禁用受影响虚拟机上的 “builder ”账户。