目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1325

100%
请我们喝杯咖啡

CVE-2021-32001— SUSE Rancher K3s 安全漏洞

CVSS 6.5 · Medium EPSS 0.30% · P22
获取后续新漏洞提醒登录后订阅

一、 漏洞 CVE-2021-32001 基础信息

漏洞信息
对漏洞内容有疑问?看看神龙的深度分析是否有帮助!
查看神龙十问 ↗

尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。

Vulnerability Title
K3s/RKE2 bootstrap data is encrypted with empty string if user does not supply a token
来源: 美国国家漏洞数据库 NVD
Vulnerability Description
K3s in SUSE Rancher allows any user with direct access to the datastore, or a copy of a datastore backup, to extract the cluster's confidential keying material (cluster certificate authority private keys, secrets encryption configuration passphrase, etc.) and decrypt it, without having to know the token value. This issue affects: SUSE Rancher K3s version v1.19.12+k3s1, v1.20.8+k3s1, v1.21.2+k3s1 and prior versions; RKE2 version v1.19.12+rke2r1, v1.20.8+rke2r1, v1.21.2+rke2r1 and prior versions.
来源: 美国国家漏洞数据库 NVD
CVSS Information
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
来源: 美国国家漏洞数据库 NVD
Vulnerability Type
敏感数据加密缺失
来源: 美国国家漏洞数据库 NVD
Vulnerability Title
SUSE Rancher K3s 安全漏洞
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Description
SUSE Rancher K3s是德国SUSE公司的个 CNCF 沙箱项目,提供轻量级但功能强大的认证 Kubernetes 发行版。 SUSE Rancher K3s存在安全漏洞,该漏洞允许任何用户直接访问数据存储,或数据存储备份的副本,以提取集群的机密密钥材料(集群证书颁发机构私钥、秘密加密配置密码短语等)并解密,不需要知道令牌的值。
来源: 中国国家信息安全漏洞库 CNNVD
CVSS Information
N/A
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Type
N/A
来源: 中国国家信息安全漏洞库 CNNVD

受影响产品

厂商产品影响版本CPE订阅
SUSERancher K3s ~ v1.19.12+k3s1, v1.20.8+k3s1, v1.21.2+k3s1 -
SUSERancher RKE2 ~ v1.19.12+rke2r1, v1.20.8+rke2r1, v1.21.2+rke2r1 -

二、漏洞 CVE-2021-32001 的公开POC

#POC 描述源链接神龙链接
AI 生成 POC高级

未找到公开 POC。

登录以生成 AI POC

三、漏洞 CVE-2021-32001 的情报信息

登录查看更多情报信息。

CVE-2021-32001 厂商安全公告 (1)

IV. Related Vulnerabilities

Same product: Rancher
Same vendor: SUSE
Same weakness: CWE-311

V. Comments for CVE-2021-32001

暂无评论

发表评论