Kubernetes 准入机制绕过（CVE-2021-25735）

# Kubernetes 准入机制绕过（CVE-2021-25735）

在kube-apiserver中发现一个漏洞，该漏洞可能允许节点更新绕过Validation Admission Webhook。如果攻击者具有足够的权限，并且利用旧 Node 对象属性（例如 Node.NodeSpec 中的字段）实现了验证准入网络钩子，则攻击者可以更新节点的属性，这可能会导致集群受到危害。

影响版本：

* kube-apiserver v1.20.0 至 v1.20.5
* kube-apiserver v1.19.0 至 v1.19.9
* kube-apiserver <= v1.18.17 利用CVE-2021-25735： 通过执行组合操作将changeAllowed标签更改为true并添加一个新标签，触发该漏洞，新的值已被准入控制器覆盖。 ``` labels: test: test changeAllowed: "true" ``` 详情可以参考：https://sysdig.com/blog/cve-2021-25735-kubernetes-admission-bypass/ ref： * https://sysdig.com/blog/cve-2021-25735-kubernetes-admission-bypass/ * https://github.com/darryk10/CVE-2021-25735 * https://nvd.nist.gov/vuln/detail/CVE-2021-25735 * https://cloud.google.com/kubernetes-engine/docs/security-bulletins