从这个网页截图中,我们可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 漏洞名称:[Bug] DaemonSet hwameistor-local-disk-manager has too much RBAC permission which may leads the whole cluster being hijacked #1457 - 描述:hwameistor-local-disk-manager DaemonSet在RBAC权限方面存在过多的权限,可能导致整个集群被劫持。 2. 权限问题: - hwameistor-local-disk-manager使用了一个共享的服务账户,而不是创建一个单独的服务账户。这导致了敏感的权限: - 创建/更新/删除 资源的 (ClusterRole) - 获取/列表 (ClusterRole) - 更新/贴合 (ClusterRole) 3. 潜在风险: - 这些未使用的权限可能导致恶意用户创建特权容器,甚至获得集群中所有节点的控制权。 - 恶意用户可以获取和列出集群中的所有秘密,包括数据库密码、外部云服务器令牌等。 - 恶意用户可以修改节点的标签,从而控制恶意容器。 4. 缓解建议: - 创建一个单独的服务账户并移除所有不必要的权限。 - 确定APP需要的所有资源名称,并在角色规则中指定。 - 使用Kyverno或OPA/Gatekeeper策略限制新创建的Pod的容器图像、入口点和命令,并禁用 和 。 5. 参考链接: - 几个CVE已经分配给其他项目中的类似问题。 6. 状态: - 该问题已关闭。 这些信息表明,该漏洞涉及到RBAC权限的不当配置,可能导致严重的安全风险,包括集群被劫持和敏感信息泄露。