Kubernetes 发现了一个高严重性漏洞 CVE-2024-10220，攻击者可能利用该漏洞在容器边界外执行任意命令。该漏洞影响运行特定版本 kubelet 的 Kubernetes 集群，主要利用了 gitRepo 卷的功能。攻击者可以通过操纵目标存储库中的钩子文件夹，在容器边界外执行命令，从而获取敏感数据、提升权限甚至危及整个集群。Kubernetes 官方已发布修复版本，建议用户尽快升级 kubelet 版本并弃用 gitRepo 卷，迁移到使用 init 容器执行 Git 克隆操作的方式来缓解此漏洞。

⚠️ **漏洞描述:** Kubernetes 中存在一个高严重性漏洞 CVE-2024-10220，攻击者可利用 gitRepo 卷功能在容器边界外执行任意命令，造成安全风险。

🚨 **受影响版本:** kubelet 版本 v1.30.0 至 v1.30.2、v1.29.0 至 v1.29.6 以及 v1.28.11 及以下版本均受到影响。

🛡️ **修复方案:** Kubernetes 官方已发布修复版本，建议用户升级到 v1.31.0、v1.30.3、v1.29.7 或 v1.28.12。

🔄 **建议措施:** 由于 gitRepo 卷已被弃用，建议用户迁移到使用 init 容器执行 Git 克隆操作，并将生成的目录挂载到 pod 的容器中。

🗓️ **漏洞披露:** 该漏洞最初于 7 月份披露，再次强调了及时关注安全更新和应用必要补丁的重要性。

Kubernetes 中发现了一个高严重性漏洞，攻击者可能利用该漏洞在容器边界外执行任意命令。该漏洞被追踪为 CVE-2024-10220，CVSS 得分为 8.1，影响运行特定版本 kubelet 的 Kubernetes 群集。该漏洞利用了 gitRepo 卷，这是一种用于将 Git 仓库克隆到 pod 的功能。通过操纵目标存储库中的钩子文件夹，攻击者可以执行超出预期容器限制的命令。kubernetes 问题解释说：“这个漏洞利用目标资源库中的钩子文件夹，在容器边界外运行任意命令。这可能会让恶意行为者在未经授权的情况下访问敏感数据、提升权限并危及整个 Kubernetes 集群。”受影响的 kubelet 版本包括v1.30.0 至 v1.30.2v1.29.0 至 v1.29.6<= v1.28.11为缓解该漏洞，Kubernetes 用户应将其集群升级到其中一个修复版本：主版本/v1.31.0v1.30.3v1.29.7v1.28.12由于 gitRepo 卷已被弃用，建议的解决方案是迁移到其他功能。Kubernetes 建议使用 init 容器执行 Git 克隆操作，并将生成的目录挂载到 pod 的容器中。该漏洞最初于 7 月份披露，它强调了随时了解安全更新并及时应用必要补丁的重要性。