Kyverno项目安全问题分析与修复：JWT库内存分配问题解析

在开源策略引擎Kyverno的最新版本中，安全扫描工具检测到一个来自golang-jwt/jwt库的重要问题（CVE-2025-30204）。该问题涉及JWT（JSON Web Tokens）头部解析过程中的内存分配情况，可能被不当使用者利用导致服务不稳定风险。

问题技术背景

JWT作为现代Web应用广泛使用的身份验证机制，其安全性至关重要。在Kyverno的策略执行引擎中，JWT被用于处理认证令牌。问题存在于golang-jwt/jwt库v5.2.1及以下版本中，具体表现为ParseUnverified函数对未验证令牌的处理机制。

当处理特殊构造的Authorization头（包含大量连续分隔符）时，字符串分割操作会触发线性增长的内存分配（O(n)复杂度），每个分隔符约产生16字节的额外内存消耗。这种设计不足使得系统可能面临资源消耗的情况。

影响范围分析

该问题直接影响Kyverno release-1.13版本，通过容器镜像分析可见：

• 受影响组件：/ko-app/kyverno二进制文件
• 依赖路径：github.com/golang-jwt/jwt/v5@v5.2.1
• 基础镜像：wolfi 20230201

虽然问题不涉及权限变更或数据泄露，但服务稳定性影响不容忽视。在集群管理场景下，此类资源消耗情况可能影响整个策略执行系统的可用性。

解决方案实施

项目维护团队通过双重措施彻底解决该问题：

1. 直接依赖升级：将golang-jwt/jwt库升级至安全版本v5.2.2
2. 间接依赖清理：确保所有传递依赖都使用修复后的版本

升级后的版本中，库作者重构了令牌解析逻辑，采用更高效的字符串处理方式，消除了线性内存增长风险。值得注意的是，该修复同时向后兼容，不会影响现有合法JWT的处理流程。

安全实践建议

对于使用Kyverno的企业用户，建议采取以下防护措施：

1. 立即升级到包含修复的Kyverno版本
2. 定期扫描容器镜像中的已知问题
3. 限制外部输入的JWT令牌长度
4. 监控API服务的异常内存消耗模式

该案例也提醒开发者，即使是被广泛使用的加密库也可能存在实现层面的安全问题。在云原生环境中，需要建立从代码依赖到运行时环境的完整防护链条。