关键信息 漏洞描述 漏洞标题: Improper path handling in Kustomization files allows for denial of service 漏洞类型: 拒绝服务(DoS) 描述: - kustomize-controller 在处理 Kustomize 文件时存在路径处理不当的问题,导致恶意用户可以利用特制的 文件造成控制器级别的拒绝服务。 - 在多租户部署中,此问题可能导致多个租户在恶意 文件被移除和控制器重启前无法应用他们的 Kustomize。 影响 在受影响的版本中,具有对 Flux 源写权限的用户可以创建恶意 文件,导致控制器进入无限循环,引发服务中断。 受影响与修复版本 受影响的包与版本: - github.com/fluxcd/flux2 (Go): = v0.29.0 - github.com/fluxcd/kustomize-controller (Go): >= v0.24.0 修复补丁 此漏洞已经在 kustomize-controller v0.24.0 和 flux2 v0.29.0 中得到修复,发布日期为2022年4月20日。 CWE 编号 CWE-674 CVSS 评分 严重性: 高 CVSS V3 基本度量值: - 攻击向量: 网络 - 攻击复杂度: 低 - 所需权限: 低 - 用户交互: 无 - 范围: 改变 - 机密性影响: 无 - 完整性影响: 无 - 可用性影响: 高 CVE 编号 CVE-2022-24878 贡献 Flux 工程团队发现了此漏洞并进行了修复。