<p>kubeadm может регистрировать токены начальной загрузки перед попыткой их удаления</p>

Какие ключевые слова вы искали в выпусках kubeadm перед тем, как подать этот запрос?

token , error

Это ОТЧЕТ ОБ ОШИБКЕ или ЗАПРОС О ФУНКЦИОНИРОВАНИИ?

_БЕЗОПАСНОСТЬ_ ОТЧЕТ

Резюме:

kubeadm Команда delete принимает в качестве входных данных либо идентификатор токена начальной загрузки, либо полный токен. Прежде чем определить, является ли ввод просто идентификатором или полным токеном, kubeadm регистрирует ввод с помощью klog . Если удаление не удастся, токен останется действительным. Злоумышленник, имеющий доступ к журналам, может использовать его для выполнения действий, требующих токена начальной загрузки, таких как создание кластера или присоединение узлов к существующему кластеру.

Версия Kubernetes:

Уязвимый код присутствует в kubernetes 1.19. Конкретная строка, содержащая вызов klog последний раз редактировалась 24 марта 2019 г.

Подробности:

Уязвимый код находится в репозитории github.com/kubernetes , в файле kubernetes/cmd/kubeadm/app/cmd/token.go , в строке 423. Вот вся функция:

// RunDeleteTokens removes a bootstrap tokens from the server.
func RunDeleteTokens(out io.Writer, client clientset.Interface, tokenIDsOrTokens []string) error {
    for _, tokenIDOrToken := range tokenIDsOrTokens {
        // Assume this is a token id and try to parse it
        tokenID := tokenIDOrToken
        klog.V(1).Infof("[token] parsing token %q", tokenIDOrToken) // POTENTIAL LEAK HERE
        if !bootstraputil.IsValidBootstrapTokenID(tokenIDOrToken) {
            // Okay, the full token with both id and secret was probably passed. Parse it and extract the ID only
            bts, err := kubeadmapiv1beta2.NewBootstrapTokenString(tokenIDOrToken)
            if err != nil {
                return errors.Errorf("given token %q didn't match pattern %q or %q",
                    tokenIDOrToken, bootstrapapi.BootstrapTokenIDPattern, bootstrapapi.BootstrapTokenIDPattern)
            }
            tokenID = bts.ID
        }

        tokenSecretName := bootstraputil.BootstrapTokenSecretName(tokenID)
        klog.V(1).Infof("[token] deleting token %q", tokenID)
        if err := client.CoreV1().Secrets(metav1.NamespaceSystem).Delete(context.TODO(), tokenSecretName, metav1.DeleteOptions{}); err != nil {
            return errors.Wrapf(err, "failed to delete bootstrap token %q", tokenID)
        }
        fmt.Fprintf(out, "bootstrap token %q deleted\n", tokenID)
    }
    return nil
}

А вот определение команды kubeadm, которая вызывает эту функцию (в том же файле):

    deleteCmd := &cobra.Command{
        Use:                   "delete [token-value] ...",
        DisableFlagsInUseLine: true,
        Short:                 "Delete bootstrap tokens on the server",
        Long: dedent.Dedent(`
            This command will delete a list of bootstrap tokens for you.

            The [token-value] is the full Token of the form "[a-z0-9]{6}.[a-z0-9]{16}" or the
            Token ID of the form "[a-z0-9]{6}" to delete.
        `),
        RunE: func(tokenCmd *cobra.Command, args []string) error {
            if len(args) < 1 {
                return errors.Errorf("missing subcommand; 'token delete' is missing token of form %q", bootstrapapi.BootstrapTokenIDPattern)
            }
            kubeConfigFile = cmdutil.GetKubeConfigPath(kubeConfigFile)
            client, err := getClientset(kubeConfigFile, dryRun)
            if err != nil {
                return err
            }

            return RunDeleteTokens(out, client, args)
        },
    }

Влияние:

Злоумышленник, получивший маркер начальной загрузки из журналов, может использовать его для аутентификации с помощью kubeadm и создания нового кластера или присоединения узлов к существующему кластеру, например, для использования вычислительных ресурсов. Злоумышленник также может выполнять другие действия с помощью kubeadm , например, перечислять или удалять другие токены.

Дополнительная информация:

Я сообщил об этой уязвимости в HackerOne, и они сообщили мне, что, исходя из высокой сложности и низкой серьезности атаки, они думают, что об этом можно сообщить и исправить публично.

Я открыл PR на kubernetes, реализующий исправление: https://github.com/kubernetes/kubernetes/pull/94727