Kyverno项目中的JWT库问题分析与修复

在Kyverno项目的1.13版本中，安全扫描工具发现了一个与JWT(JSON Web Token)处理相关的潜在风险(CVE-2025-30204)。该问题存在于项目依赖的golang-jwt/jwt库中，可能被不当利用导致服务异常。

问题背景

JWT是现代Web应用中常用的身份验证机制，它允许服务端通过签名令牌来验证客户端身份。Kyverno作为Kubernetes的策略引擎，在处理策略请求时也需要验证JWT令牌。

golang-jwt/jwt是Go语言中最流行的JWT实现库之一。在5.2.1及更早版本中，该库的ParseUnverified函数存在一个内存分配方面的优化空间。

问题技术细节

问题的根本原因在于ParseUnverified函数对JWT令牌头的处理方式。该函数使用strings.Split方法对输入令牌(可能包含特殊构造的数据)按点号(.)进行分割。当遇到一个包含大量点号的特殊Authorization头时，如"Bearer ....."(省略数百个点号)，函数会分配较多内存，导致O(n)级别的内存消耗，其中n是输入字符串的长度。

具体来说：

1. 每次调用strings.Split都会创建一个新的字符串切片
2. 每个分割后的子字符串都会分配独立的内存空间
3. 对于较长点号序列，这些分配会占用较多系统内存

这种场景属于资源消耗型问题，需要发送特定请求才能触发。

影响范围

该问题影响：

• 使用golang-jwt/jwt v5.x系列低于5.2.2版本的Kyverno部署
• 任何直接或间接依赖该库的服务

在Kyverno上下文中，这意味着：

1. 处理策略请求的API端点可能需要关注
2. Webhook验证服务可能需要关注
3. 任何需要JWT验证的功能组件都可能需要注意

修复方案

golang-jwt/jwt团队在5.2.2版本中优化了此问题。Kyverno项目通过以下方式解决了该问题：

1. 升级依赖版本至5.2.2或更高
2. 重新构建并发布新的容器镜像
3. 更新相关文档和安全公告

优化后的版本改进了令牌解析逻辑，通过更高效的内存处理方式避免了潜在的性能问题。

最佳实践建议

对于使用Kyverno或其他依赖JWT的项目，建议：

1. 定期更新依赖库至最新稳定版本
2. 使用安全扫描工具监控项目依赖
3. 在生产环境部署Web应用防火墙(WAF)规则，过滤异常请求
4. 限制单个请求的资源使用量
5. 监控系统内存使用情况，设置告警阈值

总结

系统优化是软件开发中持续的挑战，特别是对于像Kyverno这样的关键基础设施项目。通过及时识别和解决此类问题，项目维护者确保了系统的稳定性和性能。作为用户，保持系统更新和遵循最佳实践同样重要。