SUSE Rancher安全团队近日修复了影响Rancher Manager的三处漏洞,严重程度从中等到高危不等。这些漏洞可能导致拒绝服务、信息泄露或通过钓鱼攻击窃取令牌,威胁企业Kubernetes管理平台安全。
CVE-2024-58260:用户名篡改导致管理员锁定(CVSS 7.6)
Rancher Manager的用户更新逻辑存在缺陷,可能使拥有提升权限的攻击者锁定管理员账户。安全公告指出:"具有更新其他用户资源权限的用户,可将其.username属性设置为'admin',由于Rancher在登录时强制要求用户名唯一性,这将导致合法管理员和受影响用户均无法登录。"
该漏洞既能实现用户名劫持,又可造成账户锁定,实质导致管理员服务拒绝并破坏平台治理。修复方案规定:用户名设置后禁止修改,确保创建后的不可变性。该漏洞已在v2.12.2、v2.11.6、v2.10.10和v2.9.12版本中修复。
CVE-2025-54468:通过/meta/proxy泄露敏感标头(CVSS 4.7)
这个严重性较低但仍需关注的漏洞涉及Rancher的代理机制。安全公告称:"Impersonate-Extra-标头正通过Rancher的/meta/proxy端点发送至外部实体(如amazonaws.com),这些标头可能包含可识别信息和/或敏感数据(例如电子邮件地址)。"
虽然不会泄露密码或令牌,但用户名或主体ID等信息可能使组织面临隐私和合规风险。修复后的版本已从代理请求中剥离所有Impersonate-标头,相关补丁包含在上述相同版本中。
最低0.47元/天 解锁文章
扫一扫
154
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
