Kubernetes Vulnerability Advisory: CVE-2020-8561, CVE-2020-8562, CVE-2021-25740

漏洞概述 Kubernetes 项目正在更新三个未修复的 CVE 记录，这些漏洞在之前的版本中未被正确记录。这些漏洞包括： 1. CVE-2020-8561: Webhook 重定向在 kube-apiserver 中 2. CVE-2020-8562: 通过 DNS TOCTOU 的代理绕过 3. CVE-2021-25740: 跨命名空间转发通过 Endpoints 影响范围 CVE-2020-8561: 影响 kube-apiserver 的 HTTP 重定向行为，可能导致内部私有网络中的请求被重定向。 CVE-2020-8562: 影响 API 服务器代理的 DNS 检查机制，可能导致 IP 限制被绕过。 CVE-2021-25740: 影响 Endpoints 和 EndpointSlice API 对象的设计，可能导致手动指定 IP 地址并指向负载均衡器或 Ingress 后端。 修复方案 CVE-2020-8561: Webhook 重定向在 kube-apiserver 中 严重性: 中等 (4.1) 问题: kube-apiserver 在通信时遵循 HTTP 重定向，可能导致内部私有网络中的请求被重定向。 为何未修复: 限制此行为会破坏标准 HTTP 客户端行为，许多合法集成依赖于此。 缓解措施: 将 API 服务器日志级别设置为低于 10（以防止记录响应体），并禁用动态分析（ ）以防止未经授权的日志级别更改。 CVE-2020-8562: 通过 DNS TOCTOU 的代理绕过 严重性: 低 (3.1) 问题: API 服务器代理中的时间检查到时间使用（TOCTOU）竞争条件允许用户绕过 IP 限制。 为何未修复: 修复需要固定解析的 IP，这会破坏复杂的 split-horizon DNS 或动态 IP 环境。 缓解措施: 使用本地 DNS 缓存服务器如 dnsmasq 用于 API 服务器，并配置 以在检查和连接之间强制执行一致的响应。 CVE-2021-25740: 跨命名空间转发通过 Endpoints 严重性: 低 (3.1) 问题: Endpoints 和 EndpointSlice API 对象的设计缺陷允许用户手动指定 IP 地址，指向负载均衡器或 Ingress 后端。 为何未修复: 这是 Endpoints API 用于网络工具的基本功能。 缓解措施: 限制对 Endpoints（遗留）和 EndpointSlices 的写入访问。自 Kubernetes 1.22 起，Kubernetes RBAC 授权模式不再包括默认 和 ClusterRoles 中的这些权限。对于使用 Kubernetes v1.22 创建的集群，管理员应手动审计并重新协调 ClusterRole。 管理员所需操作 结论：通过透明度成熟 通过纠正这些记录，Kubernetes 项目展示了其安全生态系统的成熟度。通过摆脱“仅补丁”的心态并准确记录架构债务，Kubernetes 项目为社区提供了高保真数据，以保护现代云原生基础设施。 --- 注意: 2026 年 6 月 1 日，这些 CVE 记录将更新以正确反映事实，即所有版本都受到影响。您可能会开始看到它们在漏洞扫描器结果中出现。

目標達成 すべての支援者に感謝 — 100%達成しました！

Kubernetes Vulnerability Advisory: CVE-2020-8561, CVE-2020-8562, CVE-2021-25740

目標達成すべての支援者に感謝 — 100%達成しました！