<p>kubeadm उन्हें हटाने का प्रयास करने से पहले बूटस्ट्रैप टोकन लॉग कर सकता है</p>

को निर्मित 11 सित॰ 2020 · 3टिप्पणियाँ · स्रोत: kubernetes/kubeadm

इसे फाइल करने से पहले आपने kubeadm मुद्दों में कौन से कीवर्ड खोजे?

token , error

क्या यह बग रिपोर्ट या सुविधा अनुरोध है?

_सुरक्षा_ रिपोर्ट

सारांश:

kubeadm का delete कमांड एक बूटस्ट्रैप टोकन आईडी, या एक पूर्ण टोकन इनपुट के रूप में लेता है। यह निर्धारित करने से पहले कि इनपुट सिर्फ एक आईडी या पूर्ण टोकन है, kubeadm का उपयोग करके इनपुट लॉग करता है klog । यदि विलोपन विफल रहता है, तो टोकन वैध रहेगा। एक हमलावर जिसके पास लॉग तक पहुंच है, वह इसका उपयोग उन कार्यों को करने के लिए कर सकता है जिनके लिए बूटस्ट्रैप टोकन की आवश्यकता होती है, जैसे कि क्लस्टर बनाना या मौजूदा क्लस्टर में नोड्स को जोड़ना।

कुबेरनेट्स संस्करण:

कुबेरनेट्स 1.19 में कमजोर कोड मौजूद है। विशिष्ट पंक्ति जिसमें klog पर कॉल शामिल है, अंतिम बार 2019-03-24 को संपादित किया गया था।

विवरण:

असुरक्षित कोड github.com/kubernetes रिपॉजिटरी में है, फ़ाइल में kubernetes/cmd/kubeadm/app/cmd/token.go , लाइन 423 पर। यहां संपूर्ण कार्य है:

// RunDeleteTokens removes a bootstrap tokens from the server.
func RunDeleteTokens(out io.Writer, client clientset.Interface, tokenIDsOrTokens []string) error {
    for _, tokenIDOrToken := range tokenIDsOrTokens {
        // Assume this is a token id and try to parse it
        tokenID := tokenIDOrToken
        klog.V(1).Infof("[token] parsing token %q", tokenIDOrToken) // POTENTIAL LEAK HERE
        if !bootstraputil.IsValidBootstrapTokenID(tokenIDOrToken) {
            // Okay, the full token with both id and secret was probably passed. Parse it and extract the ID only
            bts, err := kubeadmapiv1beta2.NewBootstrapTokenString(tokenIDOrToken)
            if err != nil {
                return errors.Errorf("given token %q didn't match pattern %q or %q",
                    tokenIDOrToken, bootstrapapi.BootstrapTokenIDPattern, bootstrapapi.BootstrapTokenIDPattern)
            }
            tokenID = bts.ID
        }

        tokenSecretName := bootstraputil.BootstrapTokenSecretName(tokenID)
        klog.V(1).Infof("[token] deleting token %q", tokenID)
        if err := client.CoreV1().Secrets(metav1.NamespaceSystem).Delete(context.TODO(), tokenSecretName, metav1.DeleteOptions{}); err != nil {
            return errors.Wrapf(err, "failed to delete bootstrap token %q", tokenID)
        }
        fmt.Fprintf(out, "bootstrap token %q deleted\n", tokenID)
    }
    return nil
}

और यहाँ kubeadm कमांड की परिभाषा है जो उस फ़ंक्शन को कॉल करती है (उसी फ़ाइल में):

    deleteCmd := &cobra.Command{
        Use:                   "delete [token-value] ...",
        DisableFlagsInUseLine: true,
        Short:                 "Delete bootstrap tokens on the server",
        Long: dedent.Dedent(`
            This command will delete a list of bootstrap tokens for you.

            The [token-value] is the full Token of the form "[a-z0-9]{6}.[a-z0-9]{16}" or the
            Token ID of the form "[a-z0-9]{6}" to delete.
        `),
        RunE: func(tokenCmd *cobra.Command, args []string) error {
            if len(args) < 1 {
                return errors.Errorf("missing subcommand; 'token delete' is missing token of form %q", bootstrapapi.BootstrapTokenIDPattern)
            }
            kubeConfigFile = cmdutil.GetKubeConfigPath(kubeConfigFile)
            client, err := getClientset(kubeConfigFile, dryRun)
            if err != nil {
                return err
            }

            return RunDeleteTokens(out, client, args)
        },
    }

प्रभाव:

एक हमलावर जो लॉग से बूटस्ट्रैप टोकन प्राप्त करता है, इसका उपयोग kubeadm साथ प्रमाणित करने और एक नया क्लस्टर बनाने या मौजूदा क्लस्टर में नोड्स में शामिल होने के लिए कर सकता है, उदाहरण के लिए कंप्यूटिंग संसाधनों का उपयोग करने के लिए। एक हमलावर kubeadm का उपयोग करके अन्य कार्रवाइयां भी कर सकता है, उदाहरण के लिए अन्य टोकन सूचीबद्ध करना या हटाना।

अतिरिक्त जानकारी:

मैंने HackerOne को इस भेद्यता की सूचना दी है और उन्होंने मुझे सूचित किया है कि उच्च हमले की जटिलता और कम गंभीरता के आधार पर, उन्हें लगता है कि इसे सार्वजनिक रूप से रिपोर्ट और तय किया जा सकता है।

मैंने एक फिक्स लागू करने वाले कुबेरनेट्स पर एक पीआर खोला है: https://github.com/kubernetes/kubernetes/pull/94727

aresecurity kincleanup prioritbacklog

स्रोत

mlevesquedion

सभी 3 टिप्पणियाँ

kubeadm का डिलीट कमांड एक बूटस्ट्रैप टोकन आईडी या एक पूर्ण टोकन इनपुट के रूप में लेता है। यह निर्धारित करने से पहले कि इनपुट सिर्फ एक आईडी है या एक पूर्ण टोकन है, kubeadm klog का उपयोग करके इनपुट को लॉग करता है। यदि विलोपन विफल रहता है, तो टोकन वैध रहेगा। एक हमलावर जिसके पास लॉग तक पहुंच है, वह इसका उपयोग उन कार्यों को करने के लिए कर सकता है जिनके लिए बूटस्ट्रैप टोकन की आवश्यकता होती है, जैसे कि क्लस्टर बनाना या मौजूदा क्लस्टर में नोड्स को जोड़ना।

नमस्ते, और इस मुद्दे को दर्ज करने के लिए धन्यवाद। इस तरह के लॉग को पढ़ने में सक्षम होने के लिए किसी को सही विशेषाधिकार प्राप्त करने की आवश्यकता होगी और मुझे लगता है कि लॉग या तो रूट एक्सेस के तहत होंगे या किसी विशिष्ट समूह को दिए जाएंगे जिनके पास पहले से ही बूटस्ट्रैप टोकन की तुलना में अधिक पहुंच है।

भी:

--v=>1 को kubeadm token delete निष्पादन के दौरान सक्षम करना होगा यदि टोकन वैध प्रारूप में है
टोकन 24 घंटे के बाद डिफ़ॉल्ट रूप से समाप्त हो जाते हैं

मुझे लगता है कि पीआर में सुधार ज्यादातर ठीक है, लेकिन मुझे नहीं लगता कि इस तरह के हमले की जटिलता के कारण हमें पुराने रिलीज (<1.20) पर बैकपोर्ट करना चाहिए।

neolit123 14 सित॰ 2020

👍1

मैं बैकपोर्ट नहीं करने के लिए @neolit123 से सहमत हूं (जब तक कि वास्तव में विशिष्ट आवश्यकताएं न हों)
ठीक करने के लिए WRT, मैं लॉग से TokenID को निकालने के लिए +1 हूं

fabriziopandini 14 सित॰ 2020

👍1

https://github.com/kubernetes/kubernetes/pull/94727 विलय के रूप में बंद।
धन्यवाद

neolit123 15 सित॰ 2020

👍1

क्या यह पृष्ठ उपयोगी था?

0 / 5 - 0 रेटिंग्स