首页
/ Gardener项目v1.117.5版本发布:关键安全修复与功能优化

Gardener项目v1.117.5版本发布:关键安全修复与功能优化

2025-06-16 16:24:29作者:裴锟轩Denise

项目概述

Gardener是一个开源的Kubernetes集群管理平台,由SAP公司主导开发。它采用Kubernetes原生方式管理Kubernetes集群,能够自动化集群的生命周期管理,包括创建、扩展、升级和删除等操作。Gardener特别适合在云环境中大规模部署和管理Kubernetes集群,支持多云和混合云环境。

安全问题修复

本次发布的v1.117.5版本包含了两项关键安全修复,解决了可能导致权限提升的严重问题。

项目Secret元数据注入问题(CVE-2025-47284)

该问题存在于gardenlet组件中,可能允许具有Gardener项目管理员权限的用户获取对管理其Shoot集群的种子集群的控制权。攻击者可以通过注入恶意元数据来绕过安全限制,从而获得不应有的权限。该问题被评定为严重级别(CVSS 9.9),影响多个版本系列。

项目Secret验证绕过问题(CVE-2025-47283)

另一个严重问题允许具有项目管理员权限的用户绕过项目Secret的验证机制,同样可能导致对种子集群的控制权获取。这个问题同样被评定为严重级别(CVSS 9.9),影响多个版本系列。

功能改进与优化

操作符功能增强

  1. 服务账户权限修复:修复了gardener-operator使用的system:serviceaccount:kube-system:gardener-internal服务账户无法标记受限资源的问题。

  2. 扩展准入Webhook验证:现在确保扩展准入Webhook已正确验证Shoot中引用的WorkloadIdentity和Secret。

  3. 资源创建优化:在种子集群的Shoot控制平面命名空间中创建引用资源时,现在会忽略注解和标签,提高了资源管理的稳定性。

监控与资源管理

  1. Prometheus资源限制调整:将prometheus-shoot的最小允许CPU设置为150m,避免了因资源不足导致的频繁驱逐问题,提高了监控系统的稳定性。

权限控制增强

  1. 项目所有者修改限制:新增检查机制,确保只有项目所有者和具有UAM角色的项目成员才能修改项目所有者,增强了项目的安全控制。

开发者体验改进

  1. 本地测试环境支持:修复了admission-local部署,使其能够更好地与基于KinD的测试设置配合工作,提升了开发者的测试体验。

版本升级建议

对于正在使用受影响版本的用户,强烈建议尽快升级到v1.117.5或更高版本,以修复上述严重安全问题。升级时应注意:

  1. 检查当前环境中的依赖组件兼容性
  2. 备份关键配置和数据
  3. 在测试环境中先行验证升级过程
  4. 遵循官方提供的升级指南进行操作

总结

Gardener v1.117.5版本在安全性和功能性方面都做出了重要改进。通过修复关键安全问题,增强了系统的整体安全性;同时,多项功能优化提升了系统的稳定性和可用性。这些改进使Gardener继续成为企业级Kubernetes集群管理的可靠选择,特别是在多云和混合云环境中。

登录后查看全文
热门项目推荐
相关项目推荐