<p>kubeadm은 부트스트랩 토큰을 삭제하기 전에 기록할 수 있습니다.</p>

이 항목을 제출하기 전에 kubeadm 문제에서 어떤 키워드를 검색하셨습니까?

token , error

이것은 버그 보고서입니까 아니면 기능 요청입니까?

_SECURITY_ 보고서

요약:

kubeadm 의 delete 명령은 부트스트랩 토큰 ID 또는 전체 토큰을 입력으로 사용합니다. 입력이 id인지 아니면 전체 토큰인지 결정하기 전에 kubeadm 는 klog 사용하여 입력을 기록합니다. 삭제에 실패하면 토큰은 계속 유효합니다. 로그에 액세스할 수 있는 공격자는 로그를 사용하여 클러스터 생성 또는 기존 클러스터에 노드 결합과 같은 부트스트랩 토큰이 필요한 작업을 수행할 수 있습니다.

쿠버네티스 버전:

취약한 코드는 kubernetes 1.19에 있습니다. klog 에 대한 호출이 포함된 특정 행은 2019-03-24에 마지막으로 편집되었습니다.

세부:

취약한 코드는 github.com/kubernetes 저장소의 kubernetes/cmd/kubeadm/app/cmd/token.go 파일, 423행에 있습니다. 전체 기능은 다음과 같습니다.

// RunDeleteTokens removes a bootstrap tokens from the server.
func RunDeleteTokens(out io.Writer, client clientset.Interface, tokenIDsOrTokens []string) error {
    for _, tokenIDOrToken := range tokenIDsOrTokens {
        // Assume this is a token id and try to parse it
        tokenID := tokenIDOrToken
        klog.V(1).Infof("[token] parsing token %q", tokenIDOrToken) // POTENTIAL LEAK HERE
        if !bootstraputil.IsValidBootstrapTokenID(tokenIDOrToken) {
            // Okay, the full token with both id and secret was probably passed. Parse it and extract the ID only
            bts, err := kubeadmapiv1beta2.NewBootstrapTokenString(tokenIDOrToken)
            if err != nil {
                return errors.Errorf("given token %q didn't match pattern %q or %q",
                    tokenIDOrToken, bootstrapapi.BootstrapTokenIDPattern, bootstrapapi.BootstrapTokenIDPattern)
            }
            tokenID = bts.ID
        }

        tokenSecretName := bootstraputil.BootstrapTokenSecretName(tokenID)
        klog.V(1).Infof("[token] deleting token %q", tokenID)
        if err := client.CoreV1().Secrets(metav1.NamespaceSystem).Delete(context.TODO(), tokenSecretName, metav1.DeleteOptions{}); err != nil {
            return errors.Wrapf(err, "failed to delete bootstrap token %q", tokenID)
        }
        fmt.Fprintf(out, "bootstrap token %q deleted\n", tokenID)
    }
    return nil
}

다음은 해당 함수를 호출하는 kubeadm 명령의 정의입니다(동일한 파일에서).

    deleteCmd := &cobra.Command{
        Use:                   "delete [token-value] ...",
        DisableFlagsInUseLine: true,
        Short:                 "Delete bootstrap tokens on the server",
        Long: dedent.Dedent(`
            This command will delete a list of bootstrap tokens for you.

            The [token-value] is the full Token of the form "[a-z0-9]{6}.[a-z0-9]{16}" or the
            Token ID of the form "[a-z0-9]{6}" to delete.
        `),
        RunE: func(tokenCmd *cobra.Command, args []string) error {
            if len(args) < 1 {
                return errors.Errorf("missing subcommand; 'token delete' is missing token of form %q", bootstrapapi.BootstrapTokenIDPattern)
            }
            kubeConfigFile = cmdutil.GetKubeConfigPath(kubeConfigFile)
            client, err := getClientset(kubeConfigFile, dryRun)
            if err != nil {
                return err
            }

            return RunDeleteTokens(out, client, args)
        },
    }

타격:

로그에서 부트스트랩 토큰을 얻은 공격자는 이를 사용하여 kubeadm 로 인증하고 새 클러스터를 생성하거나 노드를 기존 클러스터에 조인할 수 있습니다(예: 컴퓨팅 리소스 사용). 공격자는 kubeadm 사용하여 다른 작업을 수행할 수도 있습니다(예: 다른 토큰 나열 또는 삭제).

추가 정보:

나는 이 취약점을 HackerOne에 보고했고 그들은 높은 공격 복잡성과 낮은 심각도를 기반으로 이것이 공개적으로 보고되고 수정될 수 있다고 생각한다고 나에게 알렸습니다.

수정 사항을 구현하는 kubernetes에 대한 PR을 열었습니다. https://github.com/kubernetes/kubernetes/pull/94727