漏洞概述 Kyverno 项目中存在一个安全漏洞,涉及 API 调用中的令牌管理。具体问题是,Kyverno 项目为出站 API 调用使用了一个专用的 ServiceAccount 令牌,但该令牌可以被重放攻击,导致潜在的安全风险。 影响范围 组件:Kyverno 项目中的多个组件,包括 admission-controller、background-controller、cleanup-controller 和 reports-controller。 版本:Kyverno v1.7.2 及之前版本。 影响:如果令牌被泄露,攻击者可以利用该令牌进行重放攻击,从而对 Kubernetes API 服务器进行未授权访问。 修复方案 1. 使用作用域令牌: - 为出站 API 调用使用一个专用的 ServiceAccount 令牌,该令牌具有特定的受众(audience)和过期时间。 - 配置 和 参数,确保令牌的安全性和有效性。 2. 配置参数: - :设置为 ,防止令牌被 Kubernetes API 服务器接受。 - :设置为 3600 秒(1 小时),限制令牌的生命周期,减少泄露风险。 3. 代码变更: - 修改 和 文件,添加新的配置参数说明。 - 更新 、 、 和 文件,配置新的令牌参数。 - 修改 文件,启用 并配置 参数。 - 更新 文件,添加新的令牌配置。 代码变更示例 以上总结涵盖了漏洞的关键信息、影响范围以及具体的修复方案,包括代码变更示例。