KEDA项目中CloudEvents SDK Go库的凭证泄露问题分析

问题背景

在KEDA项目依赖的CloudEvents SDK Go库中，发现了一个可能导致敏感凭证泄露的技术问题(CVE-2024-28110)。该问题影响版本v2.15.0及以下，当使用cloudevents.WithRoundTripper创建带有认证http.RoundTripper的cloudevents.Client时，会导致SDK将凭证传递给任意端点。

技术细节

问题原理

该问题的核心在于认证传输处理不当。当开发者使用cloudevents.WithRoundTripper配置一个经过认证的http.RoundTripper时，SDK会错误地修改http.DefaultClient，使其携带认证传输。这导致任何使用默认HTTP客户端的请求都会自动包含授权令牌，即使请求发送到非预期的端点。

影响范围

• 影响版本：CloudEvents SDK Go v2.15.0及以下版本
• 影响组件：所有使用cloudevents.WithRoundTripper创建认证客户端的应用
• 风险等级：高危(CVSS 7.5)

问题危害

该问题的主要危害是导致认证凭证传递不当，具体表现为：

1. 授权令牌可能被发送到非预期的第三方服务
2. 可能造成系统凭证被不当获取
3. 可能导致未授权访问或权限提升

解决方案

CloudEvents团队已在v2.15.2版本中修复此问题。修复方案主要包括：

1. 不再修改全局的http.DefaultClient
2. 确保认证传输仅用于预期的CloudEvents客户端
3. 隔离不同客户端的认证上下文

升级建议

对于使用KEDA或其他依赖CloudEvents SDK Go的项目，建议采取以下措施：

1. 立即检查项目依赖版本
2. 将CloudEvents SDK Go升级至v2.15.2或更高版本
3. 审查代码中所有使用cloudevents.WithRoundTripper的地方
4. 在生产环境部署前进行全面测试

最佳实践

为避免类似问题，建议开发者：

1. 避免使用全局HTTP客户端进行敏感操作
2. 为不同服务使用独立的HTTP客户端实例
3. 定期更新依赖库并关注安全公告
4. 实施严格的凭证管理和访问控制

总结

CVE-2024-28110问题揭示了在分布式系统开发中处理认证凭证时需要特别注意的事项。通过及时升级和遵循安全最佳实践，可以有效降低此类风险。KEDA项目用户应尽快采取行动，确保系统安全性。