CVE-2017-1002101:突破隔离访问宿主机文件系统1
需积分: 0 3 浏览量
2022-08-03
16:56:38
上传
评论
收藏 267KB PDF 举报
CVE-2017-1002101:突破隔离访问宿主机⽂件系
统
简介
CVE-2017-1002101是⼀个Kubernetes的⽂件系统逃逸漏洞,允许攻击者使⽤ subPath 卷挂载来访问卷空间外的
⽂件或⽬录,CVSS 3.x评分为9.8[1]。所有 v1.3.x 、 v1.4.x 、 v1.5.x 、 v1.6.x 及低于 v1.7.14 、 v1.8.9 和
v1.9.4 版本的Kubernetes均受到影响。该漏洞由Maxim Ivanov提交[2]。
后来,Kubernetes官⽅还公布了⼀个类似效果的漏洞,编号为CVE-2017-1002102[3],CVSS 3.x评分只有5.6[3],
对此我们不再介绍,感兴趣的读者可以⾃⾏了解。
下⾯,我们⾸先给出理解该漏洞所必要的背景知识,然后对漏洞进⾏分析,接着进⾏漏洞复现实战,最后给出漏洞
的修复情况,并作总结与思考。
背景知识
符号链接
符号链接,也被称作软链接,指的是这样⼀类⽂件——它们包含了指向其他⽂件或⽬录的绝对或相对路径的引⽤。
当我们操作⼀个符号链接时,操作系统通常会将我们的操作⾃动解析为针对符号链接指向的⽂件或⽬录的操作。
在类Unix系统中, ln 命令能够创建⼀个符号链接,例如:
上述命令创建了⼀个名为 link_path 的符号链接,它指向的⽬标⽂件为 target_path 。
欲了解更多关于符号链接的内容,可以参考维基百科[5]。
SubPath
在容器内部,本地⽂件通常是⾮持久化的。对于Kubernetes来说,当容器由于某种原因终⽌运⾏并被Kubelet重启
后,⾮持久化的本地⽂件就会丢失;另外,集群中同⼀Pod内部或Pod间常常会有⽂件共享的需求。Kubernetes提
供了Volume资源⽤来解决上述问题,官⽅⽂档对Volume进⾏了详尽描述[12]。
有时,我们需要把⼀个Volume在多处使⽤。 volumeMounts.subPath 特性允许我们在挂载时指定某Volume内的
⼦路径,⽽⾮其根路径。
以经典的LAMP Pod(Linux Apache Mysql PHP)为例,采⽤ subPath 特性,同⼀Pod内的 mysql 和 php 容器可
共享同⼀Volume site-data ,但在容器内部分别挂载该Volume的不同⼦路径 mysql 和 html :
ln -s target_path link_path1
apiVersion: v1
kind: Pod
metadata:
name: my-lamp-site
spec:
containers:
1
2
3
4
5
6
剩余13页未读,继续阅读
评论0