安全公告和 CVE
Rancher 致力于向社区披露我们产品的安全问题。我们会针对已解决的问题发布安全公告和 CVE(Common Vulnerabilities and Exposures,通用漏洞披露)。Rancher GitHub 上的安全页面也会发布新的安全公告。
ID | 描述 | 日期 | 解决 |
---|---|---|---|
A medium severity vulnerability was discovered within Rancher Manager whereby applications installed via Rancher Manager Apps Catalog store their Helm values directly into the Apps Custom Resource Definition, resulting in any users with GET access to it to be able to read any sensitive information that are contained within the Apps’ values. Additionally, the same information leaks into auditing logs when the audit level is set to equal or above 2. Rancher v2.7 is vulnerable and hasn’t received the fix. |
19 Nov 2024 |
||
A critical severity vulnerability was discovered within Rancher where a cluster or node driver can be used to escape the |
24 Oct 2024 |
||
A critical severity vulnerability was discovered whereby Rancher Manager deployments containing Windows nodes have weak Access Control Lists (ACL), allowing |
24 Oct 2024 |
||
A critical severity vulnerability was discovered in the way that Rancher stores vSphere’s CPI (Cloud Provider Interface) and CSI (Container Storage Interface) credentials used to deploy clusters through the vSphere cloud provider. This issue leads to the vSphere CPI and CSI passwords being stored in a plaintext object inside Rancher. This vulnerability is only applicable to users that deploy clusters in vSphere environments. Rancher v2.7 is vulnerable and hasn’t received the fix. |
24 Oct 2024 |
||
A high severity vulnerability was discovered in Rancher’s agents that under very specific circumstances allows a malicious actor to take over existing Rancher nodes. The attacker needs to have control of an expired domain or execute a DNS spoofing/hijacking attack against the domain in order to exploit this vulnerability. The targeted domain is the one used as the Rancher URL (the |
19 Sep 2024 |
||
An issue was discovered in Rancher versions up to and including 2.7.13 and 2.8.4, where custom secrets encryption configurations are stored in plaintext under the clusters |
17 Jun 2024 |
||
An issue was discovered in Rancher versions up to and including 2.7.13 and 2.8.4, where the webhook rule resolver ignores rules from a |
17 Jun 2024 |
||
An issue was discovered in Rancher versions up to and including 2.7.13 and 2.8.4, where Rancher did not have a user retention process for when external authentication providers are used, that could be configured to run periodically and disable and/or delete inactive users. The new user retention process added in Rancher v2.8.5 and Rancher v2.7.14 is disabled by default. If enabled, a user becomes subject to the retention process if they don’t log in for a configurable period of time. It’s possible to set overrides for user accounts that are primarily intended for programmatic access (e.g. CI, scripts, etc.) so that they don’t become subject to the retention process for a longer period of time or at all. |
17 Jun 2024 |
||
An issue was discovered in Rancher versions up to and including 2.7.13 and 2.8.4, in which supported RKE versions store credentials inside a ConfigMap that can be accessible by non-administrative users in Rancher. This vulnerability only affects an RKE-provisioned cluster. |
17 Jun 2024 |
||
在 Rancher 2.6.13、2.7.9 和 2.8.1 及之前的版本中发现了一个问题。多个 Cross-Site Scripting (XSS) 漏洞可通过 Rancher UI (Norman) 进行利用。 |
2024 年 2 月 8 日 |
Rancher v2.8.2、https://github.com/rancher/rancher/releases/tag/v2.7.10[v2.7.10] 和 v2.6.14 |
|
在 Rancher 2.6.13、2.7.9 和 2.8.1 及之前的版本中发现了一个问题。多个 Cross-Site Scripting (XSS) 漏洞,可以通过 Rancher UI (Apiserver) 进行利用 |
2024 年 2 月 8 日 |
Rancher v2.8.2、https://github.com/rancher/rancher/releases/tag/v2.7.10[v2.7.10] 和 v2.6.14 |
|
在 Rancher 2.6.13、2.7.9 和 2.8.1 及之前的版本中发现了一个问题。敏感数据可能会泄漏到 Rancher 的审计日志中。 |
2024 年 2 月 8 日 |
Rancher v2.8.2、https://github.com/rancher/rancher/releases/tag/v2.7.10[v2.7.10] 和 v2.6.14 |
|
在 Rancher 2.6.13、2.7.9 和 2.8.1 及之前的版本中发现了一个问题。当为 “namespace” 资源类型授予 |
2024 年 2 月 8 日 |
Rancher v2.8.2、https://github.com/rancher/rancher/releases/tag/v2.7.10[v2.7.10] 和 v2.6.14 |
|
在 Rancher 2.6.12 和 2.7.3 及之前的版本中发现了一个问题。在用户注销并重新登录到 Rancher UI 之前,Azure AD 中的权限更改不会反映给用户。 |
2023 年 5 月 31 日 |
Rancher v2.7.4 |
|
在 Rancher 2.6.12 和 2.7.3 及之前的版本中发现了一个问题。攻击者可以通过 Rancher UI 利用多个跨站脚本 (XSS) 漏洞。 |
2023 年 5 月 31 日 |
Rancher v2.7.4 |
|
在 Rancher 2.6.12 和 2.7.3 及之前的版本中发现了一个问题。具有更新命名空间权限的用户可以将该命名空间移动到他们无权访问的项目中。 |
2023 年 5 月 31 日 |
Rancher v2.7.4 |
|
在 Rancher 2.6.12 和 2.7.3 及之前的版本中发现了一个问题。Standard 及以上用户能够将他们的权限提升为 local 集群中的管理员。 |
2023 年 5 月 31 日 |
Rancher v2.7.4 |
|
由于 webhook 的更新逻辑失败,Rancher 准入 webhook 可能会配置错误。准入 webhook 在资源允许进入 Kubernetes 集群之前会强制执行验证规则和安全检查。webhook 在降级状态下运行时将不再验证任何资源,这可能导致严重的权限提升和数据损坏。 |
2023 年 4 月 24 日 |
Rancher v2.7.3 |
|
在 Rancher 2.5.0 至 2.5.16、2.6.0 至 2.6.9 和 2.7.0 版本中发现了一个问题,Rancher Git 包中存在命令注入漏洞。这个包使用 Rancher 容器镜像中可用的底层 Git 二进制文件来执行 Git 操作。特制的命令如果没有消除歧义,可能会在通过 Git 执行时造成混淆,导致在底层 Rancher 主机中进行命令注入。 |
2023 年 1 月 24 日 |
Rancher v2.7.1、https://github.com/rancher/rancher/releases/tag/v2.6.10[v2.6.10] 和 v2.5.17 |
|
此问题影响 Rancher 2.5.0 到 2.5.16,2.6.0 至 2.6.9 和 2.7.0。我们发现 Rancher 之前发布的安全公告 CVE-2021-36782 没有解决某些敏感字段、Secret Token、加密密钥和 SSH 密钥,这些字段仍然以明文形式直接存储在 Kubernetes 上 |
2023 年 1 月 24 日 |
Rancher v2.7.1、https://github.com/rancher/rancher/releases/tag/v2.6.10[v2.6.10] 和 v2.5.17 |
|
在 Rancher 2.6.9 和 2.7.0 及之前的版本中发现了一个问题。 |
2023 年 1 月 24 日 |
||
在 Rancher 2.5.16、2.6.9 和 2.7.0 及之前的版本中发现了一个问题。由于授权逻辑缺陷,任何下游集群上经过身份认证的用户都能在 Rancher |
2023 年 1 月 24 日 |
Rancher v2.7.1、https://github.com/rancher/rancher/releases/tag/v2.6.10[v2.6.10] 和 v2.5.17 |
|
此问题影响 Rancher 2.5.0 到 2.5.16,2.6.0 至 2.6.9 和 2.7.0。只会影响配置了或配置过外部身份认证提供程序的 Rancher 设置。我们发现,当在 Rancher 中配置外部身份认证提供程序然后将其禁用时,Rancher 生成的 Token 如果关联了通过现已禁用的身份认证提供程序授予访问权限的用户,那么 Token 不会被撤销。 |
2023 年 1 月 24 日 |
Rancher v2.7.1、https://github.com/rancher/rancher/releases/tag/v2.6.10[v2.6.10] 和 v2.5.17 |
|
在 Rancher 2.5.15 和 2.6.6 及之前的版本中发现了一个问题。授权逻辑缺陷允许在下游集群中通过集群角色模板绑定 (CRTB) 和项目角色模板绑定 (PRTB) 来提升权限。任何有权限创建/编辑 CRTB 或 PRTB 的用户(例如 |
2022 年 8 月 18 日 |
||
2.5.12 到 2.6.3 的 Rancher 版本无法正确清理集群模板 answer 中的凭证。此错误可能会导致明文存储以及凭证、密码和 API 令牌被暴露。在 Rancher 中,已认证的 |
2022 年 8 月 18 日 |
||
在 2.5.15 到 2.6.6 的 Rancher 版本中发现了一个问题,其中密码、API 密钥和 Rancher 的 ServiceAccount 令牌(用于配置集群)等敏感字段直接以明文形式存储在 |
2022 年 8 月 18 日 |
||
此漏洞仅影响通过 RKE 模板配置 Weave 容器网络接口 (CNI) 的客户。在 Rancher 2.5.0 到 2.5.13 和 Rancher 2.6.0 到 2.6.4 版本中发现了一个漏洞。如果将 CNI 选为 Weave,RKE 模板的用户界面 (UI) 不包括 Weave 密码的值。如果基于上述模板创建集群,并且将 Weave 配置为 CNI,则 Weave 中不会为网络加密创建密码。因此,集群中的网络流量将不加密发送。 |
2022 年 5 月 24 日 |
||
在 Rancher 2.5.0 到 2.5.12 和 Rancher 2.6.0 到 2.6.3 中发现了一个漏洞,该漏洞允许能创建或更新全局角色的用户将他们或其他用户升级为管理员。全局角色能授予用户 Rancher 级别的权限,例如能创建集群。在已识别的 Rancher 版本中,如果用户被授予了编辑或创建全局角色的权限,他们不仅仅能授予他们已经拥有的权限。此漏洞影响使用能够创建或编辑全局角色的非管理员用户的客户。此场景最常见的用例是 |
2022 年 4 月 14 日 |
||
此漏洞仅影响在 Rancher 中使用 |
2022 年 4 月 14 日 |
||
此漏洞仅影响使用经过认证的 Git 和/或 Helm 仓库通过 Fleet 进行持续交付的客户。在 |
2022 年 4 月 14 日 |
||
在 Rancher 2.5.0 到 2.5.11 和 Rancher 2.6.0 到 2.6.2 中发现了一个漏洞,当从配置的私有仓库下载 Helm Chart 时,对同源策略的检查不足可能导致仓库凭证暴露给第三方提供商。仅当用户在 Rancher 的 |
2022 年 4 月 14 日 |
||
在 Rancher 2.0 到 2.6.3 中发现了一个漏洞。Rancher 提供的 |
2022 年 3 月 31 日 |
||
在 Rancher 2.4.17、2.5.11 和 2.6.2 以及更高的版本中发现了一个漏洞。从项目中删除与某个组关联的 |
2022 年 3 月 31 日 |
Rancher 2.6.3、https://github.com/rancher/rancher/releases/tag/v2.5.12[Rancher 2.5.12] 和 Rancher 2.4.18 |
|
在 Rancher 2.5.0 到 2.5.9 中发现了一个漏洞,该漏洞允许经过认证用户通过 API 代理模拟集群上的任何用户,而无需知道被模拟用户的凭证。问题的原因是 API 代理在将请求发送到 Kubernetes API 之前未删除模拟标头。能认证访问 Rancher 的恶意用户可以冒充另一个在 Rancher 认证用户,从而对集群进行管理员级别的访问。 |
2022 年 3 月 31 日 |
||
Rancher 2.0 的不可编辑版本发现了一个漏洞,在该版本中,无论资源的 API 组如何,用户都可以访问资源。例如,Rancher 应该允许用户访问 |
2021 年 7 月 14 日 |
||
Rancher 2.0.0 的补丁版本发现了一个漏洞,恶意的 Rancher 用户可以针对托管集群的 Kubernetes API 的代理发起一个 API 请求,以获取他们无权访问的信息。这是通过在 Connection 标头中传递 “Impersonate-User” 或 “Impersonate-Group” 标头来实现的,然后代理会删除该标头。此时,请求不会模拟用户及其权限,而是会类似 Rancher management server 的请求,并错误地返回信息。该漏洞仅影响对集群具有一定级别权限的 Rancher 用户。除了升级到打了补丁的 Rancher 版本之外,暂时没有直接的缓解措施。 |
2021 年 7 月 14 日 |
||
Rancher 2.2.0 的补丁版本发现了一个漏洞,云凭证没有正确通过 Rancher API 验证。具体地说,是通过用于与云提供商通信的代理。任何登录并具有有效云提供商云凭证 ID 的 Rancher 用户都可以通过代理 API 调用该云提供商的 API,并且云凭证会被绑定。该漏洞仅影响有效的 Rancher 用户。除了升级到打了补丁的 Rancher 版本之外,暂时没有直接的缓解措施。 |
2021 年 7 月 14 日 |
||
所有 Rancher 2 版本上都发现了一个安全漏洞。使用浏览器访问 Rancher API 时,URL 没有正确转义,导致它容易受到 XSS 攻击。这些 API 端点的特制 URL 可能包括嵌入页面并在浏览器中执行的 JavaScript。暂时没有直接的缓解措施。请不要单击指向 Rancher Server 的不受信任链接。 |
2021 年 3 月 2 日 |
Rancher v2.5.6、https://github.com/rancher/rancher/releases/tag/v2.4.14[Rancher v2.4.14] 和 Rancher v2.3.11 |
|
此漏洞让已验证的用户可以通过 Rancher 使用的系统服务容器可访问的 IP 提取私有数据。这包括但不限于云提供商元数据服务等服务。虽然 Rancher 允许用户为系统服务配置白名单域,但这个漏洞仍然可以被精心设计的 HTTP 请求利用。该问题由 Workiva 的 Matt Belisle 和 Alex Stevenson 发现并报告。 |
2019 年 8 月 5 日 |
||
该漏洞允许有权编辑角色绑定的项目成员为自己或其他用户分配集群级别的角色,从而授予他们对该集群的管理员访问权限。该问题由 Nokia 的 Michal Lipinski 发现并报告。 |
2019 年 8 月 5 日 |
||
该漏洞被称为跨网页 Websocket 劫持攻击。该攻击允许攻击者以受害用户的角色/权限访问由 Rancher 管理的集群。它让受害用户登录到 Rancher Server,然后访问由攻击者托管的第三方站点。完成后,攻击者就可以使用受害用户的权限和身份对 Kubernetes API 执行命令。该问题由 Workiva 的 Matt Belisle 和 Alex Stevenson 报告。 |
2019 年 7 月 15 日 |
Rancher 2.2.5、https://github.com/rancher/rancher/releases/tag/v2.1.11[Rancher 2.1.11] 和 Rancher 2.0.16 |
|
项目所有者可以注入额外的 fluentd 日志配置,从而在 fluentd 容器内读取文件或执行任意命令。该问题由 Untamed Theory 的 Tyler Welton 报告。 |
2019 年 6 月 5 日 |
Rancher 2.2.4、https://github.com/rancher/rancher/releases/tag/v2.1.10[Rancher 2.1.10] 和 Rancher 2.0.15 |
|
如果节点使用的内置主机驱动使用了文件路径选项,则节点可以读取 Rancher Server 容器内的任意文件,包括敏感文件。 |
2019 年 6 月 5 日 |
Rancher 2.2.4、https://github.com/rancher/rancher/releases/tag/v2.1.10[Rancher 2.1.10] 和 Rancher 2.0.15 |
|
即使已被显式删除,Rancher 的默认管理员会在 Rancher 重启时重新创建。 |
2019 年 4 月 16 日 |
Rancher 2.2.2、https://github.com/rancher/rancher/releases/tag/v2.1.9[Rancher 2.1.9] 和 Rancher 2.0.14 |
|
如果将项目成员添加到多个项目中,则成员还能继续访问被删除的项目中的命名空间。 |
2019 年 1 月 29 日 |
||
任何有权访问 |
2019 年 1 月 29 日 |
Rancher 2.1.6 和 Rancher 2.0.11 - 对于这些版本或更高版本,我们有对应的回滚说明。 |