从这个网页截图中可以获取到以下关于漏洞的关键信息: 漏洞标题:arbitrary systemd property injection CVE ID:CVE-2024-3154 影响的包:CRI-O (CRI-O) 受影响的版本: - 1.29.3 - 1.28.5 - 1.27.5 已修补的版本: - 1.30.0 - 1.29.4 - 1.28.6 - 1.27.6 严重性:High 漏洞描述: - 在 CRI-O 中,一个任意的 systemd 属性可以通过 Pod 注解被注入。 - 任何可以创建带有任意注解的 Pod 的用户可以在主机系统上执行任意操作。 测试环境: - CRI-O v1.24 on minikube 解决方法: - 理想情况下,需要过滤掉以 "org.systemd.property" 为前缀的注解。 变通方法: - 目前可用的变通方法需要涉及外部变异的 Webhook 来禁止这些注解。 参考链接: - https://github.com/opencontainers/runc/issues/3923 - https://github.com/opencontainers/runtime-spec/blob/main/features.md#unsafe-annotations-in-configjson - https://github.com/opencontainers/runc/issues/4217