Kubernetes资安回应团队近期公布映像档建置工具(Image Builder)漏洞
这两项漏洞较为严重的是CVE-2024-9486,主要原因在于:以Proxmox提供者(provider)建置而成的虚拟机器映像,无法停用当中的预设帐号,若用这些映像档建置节点,后续有心人士可透过这些预设帐密进行存取,借此取得root权限,CVSS风险评分达到9.8。 另一个漏洞CVE-2024-9594,则是涉及其他系统平台提供者产生的映像档,这些提供者包含Nutanix、OVA、QEMU,在映像建置过程也会启用预设的帐密组态,而此预设帐密同样可用于取得root权限,但不同的是,在映像档建置完成后,这些帐密就会被停用。该漏洞被评为中度风险,CVSS评为6.3。 针对上述情形,Kubernetes资安回应团队除提供新版映像档建置工具,并呼吁用户应透过这些已解决上述问题的工具,重建具有潜在风险的映像档。