从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 漏洞名称:BMO can expose particularly named secrets from other namespaces via BMH CRD - 发布者:tuminoid - 漏洞编号:GHSA-pqfh-xh7w-7h3p - 发布日期:昨天 2. 受影响的版本: - 受影响的版本:< v0.8.0 - 已修复的版本:v0.8.0, v0.6.2, v0.5.2 3. 漏洞影响: - 描述:Bare Metal Operator (BMO) 实现了一个 Kubernetes API,用于在 Metal3 中管理裸金属主机。BareMetalHost (BMH) CRD 允许将 userData、metaData 和 networkData 字段指定为链接到 Kubernetes Secrets 的 Secret。这些字段包括 Name 和 Namespace,这意味着 BareMetalOperator 将读取来自任何命名空间的 Secret。具有创建或编辑 BareMetalHost 权限的用户可以利用这一点,通过使用 userData 字段来暴露来自其他命名空间的 Secret。 4. 限制因素: - BMO 只会读取具有 value(或 userData、metaData 或 networkData)名称的键,这限制了暴露的程度。value 是一个可能常见的键。 5. 缓解措施: - 修复了 BMO,防止接受来自其他命名空间的 Secrets 作为 BMH 输入。任何 BMH 配置只能从同一命名空间读取。 - 在修复的版本中,用户应升级到 v0.8.0、v0.6.2 和 v0.5.2。在升级之前,应将 BMC Secrets 复制到 BMH 所在的命名空间。升级后,应删除旧的 Secrets。 6. 工作绕过: - 操作员可以配置 BMO RBAC 为命名空间绑定的 Secrets,而不是集群绑定的,以防止 BMO 从其他命名空间访问 Secrets。 7. 参考链接: - NVD: https://nvd.nist.gov/vuln/detail/CVE-2024-43803 - GitHub Issue: #1929, #1930, #1931 这些信息提供了关于漏洞的详细描述、受影响的版本、缓解措施和工作绕过方法,以及相关的参考链接。