Podatność w komponencie `gardenlet` projektu Gardener umożliwia użytkownikowi z uprawnieniami administracyjnymi projektu Gardener przejęcie kontroli nad seed cluster(s), w których zarządzane są jego shoot clusters. Luka posiada ocenę CVSS 9.9 (CRITICAL) i dotyczy instalacji korzystających z rozszerzenia gardener/gardener-extension-provider-gcp.
▸ Pokaż oryginał (EN)
Gardener implements the automated management and operation of Kubernetes clusters as a service. A security vulnerability was discovered in the `gardenlet` component of Gardener prior to versions 1.116.4, 1.117.5, 1.118.2, and 1.119.0. It could allow a user with administrative privileges for a Gardener project to obtain control over the seed cluster(s) where their shoot clusters are managed. This CVE affects all Gardener installations where gardener/gardener-extension-provider-gcp is in use. Versions 1.116.4, 1.117.5, 1.118.2, and 1.119.0 fix the issue.
Podatność (CWE-150 — Improper Neutralization of Escape, Meta, or Control Sequences) obecna jest w komponencie `gardenlet`, odpowiedzialnym za zarządzanie cyklem życia klastrów Kubernetes. Użytkownik posiadający uprawnienia administracyjne w ramach projektu Gardener może za jej pomocą wykroczyć poza przyznany mu zakres dostępu. W efekcie atakujący jest w stanie uzyskać kontrolę nad seed cluster — infrastrukturą nadrzędną, która zarządza shoot clusters należącymi do jego projektu. Wektor ataku jest sieciowy, nie wymaga interakcji użytkownika ani szczególnie wysokich uprawnień wyjściowych (wystarczają uprawnienia projektowe).
Atakujący może przejąć pełną kontrolę nad seed cluster, co w praktyce oznacza możliwość naruszenia poufności, integralności i dostępności wszystkich zarządzanych przez niego klastrów Kubernetes oraz potencjalnie innych zasobów współdzielonej infrastruktury.
Należy zaktualizować komponent `gardenlet` do wersji 1.116.4, 1.117.5, 1.118.2 lub 1.119.0 (w zależności od używanej gałęzi), w których producent usunął opisaną podatność. Szczegółowe informacje dostępne są w oficjalnym security advisory na GitHub: https://github.com/gardener/gardener/security/advisories/GHSA-9x73-87fh-54w9
Wszystkie instalacje Gardener korzystające z rozszerzenia gardener/gardener-extension-provider-gcp, w których komponent `gardenlet` działa w wersjach wcześniejszych niż 1.116.4, 1.117.5, 1.118.2 oraz 1.119.0.
Podatność dotyczy wyłącznie instalacji używających rozszerzenia gardener/gardener-extension-provider-gcp. Instalacje Gardener bez tego rozszerzenia mogą nie być podatne — należy zweryfikować zgodnie z advisory producenta.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:HGardener
APPGardener< 1.116.41.117.0 – 1.117.5 (bez)1.118.0 – 1.118.2 (bez)
Powiązane podatności
Eskalacja uprawnień w Gardener — przejęcie kontroli nad seed cluster
In Gardener before 0.20.0, incorrect access control in seed clusters allows information disclosure by sending ...
Following the Gardener architecture, the Kubernetes apiserver of a Gardener managed shoot cluster resides in t...