漏洞概述 Kyverno 项目中存在一个安全漏洞,涉及 API 调用令牌的泄露问题。该漏洞允许攻击者通过劫持 API 调用令牌,对 Kubernetes API 服务器进行未授权访问。 影响范围 受影响组件:Kyverno 的多个控制器(admission-controller、background-controller、cleanup-controller、reports-controller)。 受影响版本:Kyverno 3.0.4 及更早版本。 影响程度:可能导致未授权访问 Kubernetes API 服务器,进而影响集群的安全性和稳定性。 修复方案 1. 使用作用域令牌: - 为每个控制器配置专用的 ServiceAccount 令牌,限制其权限范围。 - 配置 参数,设置令牌的受众(audience)和过期时间(expirationSeconds)。 2. 具体配置: - admission-controller: - background-controller: - cleanup-controller: - reports-controller: 3. 更新配置文件: - 修改 文件,添加 配置项: 4. 验证修复: - 确保所有控制器使用新的 ServiceAccount 令牌,并验证令牌的有效性和安全性。 通过以上措施,可以有效防止 API 调用令牌的泄露,提升 Kyverno 项目的安全性。