Kyverno项目安全问题分析与修复实践

问题背景

Kyverno作为Kubernetes原生的策略引擎，其安全性直接影响集群的稳定运行。近期在Kyverno的1.13版本中发现了一个重要安全问题CVE-2025-30204，该问题存在于项目依赖的golang-jwt/jwt组件中，涉及JWT令牌解析时的资源分配问题。

问题技术分析

该问题的核心在于golang-jwt/jwt库的ParseUnverified函数在处理JWT令牌时使用了strings.Split方法对输入数据进行分割。当用户构造包含大量"."字符的特殊Authorization头时，会导致资源分配呈线性增长(O(n))，造成服务端资源消耗。

具体来说，问题影响版本为：

• golang-jwt/jwt v5.x系列低于v5.2.2
• golang-jwt/jwt v4.x系列低于v4.5.2

问题的CVSS评分为7.5分(重要)，用户无需任何权限即可通过网络发起请求，虽然不会导致信息泄露或权限提升，但可能造成服务中断。

影响范围评估

该问题直接影响Kyverno的认证鉴权功能。在Kubernetes环境中，Kyverno通常作为准入控制器运行，处理来自API Server的请求。如果用户能够向集群API发送特殊请求，可能导致Kyverno Pod因资源消耗而异常，进而影响整个集群的策略执行能力。

修复方案

项目维护团队通过两个PR完成了修复：

1. 升级golang-jwt/jwt依赖至安全版本(v5.2.2或更高)
2. 对输入数据进行长度校验和格式验证

修复后的版本中，ParseUnverified函数增加了输入验证逻辑，避免处理异常长度的令牌，同时优化了资源分配策略。

最佳实践建议

对于使用Kyverno的用户，建议：

1. 立即升级到包含修复的版本
2. 在集群网络边界配置适当的请求过滤规则
3. 监控Kyverno Pod的资源使用情况
4. 考虑启用资源限制和Pod反亲和性部署

对于开发者而言，此案例提醒我们：

1. 第三方依赖的安全审计至关重要
2. 输入验证是安全防护的第一道防线
3. 对于可能被特殊利用的字符串操作函数要特别谨慎

总结

安全问题的及时发现和修复体现了Kyverno项目团队对安全性的重视。作为云原生安全领域的重要组件，Kyverno的持续改进有助于提升整个Kubernetes生态系统的安全性。用户应及时关注安全公告并保持组件更新，以防范潜在风险。