CVE-2024-45496 — 神龙十问 AI 深度分析摘要

🚨 **本质**：OpenShift 构建过程中，`git-clone` 容器以**特权安全上下文**运行。 💥 **后果**：攻击者可利用此特权，直接获取**节点的无限制访问权限**，彻底突破容器隔离。

🔍 **CWE**：CWE-269（权限提升/不当权限管理）。 📍 **缺陷点**：构建阶段容器配置错误，赋予了过高的**特权（Privileged）**权限，而非最小权限原则。

🏢 **厂商**：Red Hat（红帽）。 📦 **产品**：OpenShift Container Platform。 📌 **版本**：明确提及 **OpenShift 4** 系列存在此漏洞。

🔓 **权限**：从普通开发者权限**提权**至 Worker Node 节点权限。 📂 **数据**：获得节点**无限制访问**，可读取节点上所有敏感数据、配置及密钥。

⚙️ **门槛**：中等。 🔑 **条件**：需要**低权限认证**（PR:L，Low Privileges），即拥有 OpenShift 项目中的基础开发者权限即可触发。

💻 **PoC**：有。 🔗 **来源**：GitHub 上已有多个公开 PoC（如 `0xSigSegv0x00`, `fatcatresearch` 等），描述为“developer-to-node privilege escalation”。

🔎 **自查**：检查 OpenShift 构建配置。 👀 **特征**：查找构建步骤中 `git-clone` 容器是否被配置为 `privileged: true` 或拥有过高的安全上下文。

🛡️ **补丁**：已发布。 📅 **时间**：2024-09-16 公布。 📄 **公告**：Red Hat 发布了多个 RHSA 公告（如 RHSA-2024:6691, 6705, 6689 等）进行修复。

⚠️ **规避**：若无法立即打补丁，需严格审查构建模板。 🚫 **措施**：确保 `git-clone` 容器**不以特权模式**运行，移除不必要的特权标志，限制构建容器的权限范围。

🔥 **优先级**：**极高**。 📉 **CVSS**：3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:L（高分，网络可攻击，低权限即可利用，影响完整性/机密性高）。建议**立即升级**至修复版本。