【翻译】Flux安全审计已经结束

发布日期：2021年11月11日

项目帖子从Flux博客交叉发布

由于Flux是云原生计算基金会的一个孵化项目，我们被慷慨地授予了一个赞助审计。其主要目的是评估Flux的基本安全状况，并确定其安全故事的下一步。这次审计是由CNCF委托的，并由OSTIF（开源技术改进基金）推动。ADA Logics很快就参与其中，并花了一个月的时间进行审计。

Flux的维护者和社区非常感谢大家为此付出的努力，以及有机会作为一个项目成长和改进。

我们在Flux的第一个CVE

让我们从你作为一个Flux用户可能感兴趣的东西开始。这次合作发现了Flux中的一个权限升级漏洞，该漏洞可以使用户获得集群管理权限。该问题已被修复，并被分配为CVE 2021-41254，完整的披露公告可在以下链接获得：。

CVE-2021-41254：多租户Flux上的特权升级为集群管理员。

描述。

可以创建Kubernetes Secrets、服务账户和Flux Kustomization对象的用户，可以通过在Kubernetes Secret中嵌入shell脚本，在kustomize-controller容器内执行命令。这可以用来在kustomize-controller的服务账户下运行kubectl命令，从而允许经过认证的Kubernetes用户获得集群管理权限。

影响。

非管理员用户有权限创建Flux Kustomization对象的多租户环境会受到这个问题的影响。

修复。

这个漏洞在2021-10-08发布的kustomize-controller v0.15.0（包含在Flux v0.18.0中）中被修复。从v0.15开始，kustomize-controller不再在容器操作系统上执行shell命令，并且kubectl二进制已经从容器镜像中删除。

带有完整细节的审计报告

我们感谢ADA Logics的团队对细节的高度关注。整个报告可以在这里找到。为了从分析的所有细节中获益，我们在GitHub中创建了一个项目板。如果你仔细看一下，你会发现我们已经修复了一些最直接的问题。

概括地说，这些问题分为三类。

为Flux项目启用Fuzzing功能
文档问题
Flux代码中发现的具体问题

Flux来到了OSS-Fuzz

ADA Logics的团队并没有止步于审查Flux代码。我们很惊喜地收到了该团队的实际PR，他们定下来并帮助我们与OSS-Fuzz项目整合。其中一些工作还需要整合到所有的Flux控制器中，但我们很高兴已经有了一个开端!OSS-Fuzz是一项在重要的开源项目上持续运行模糊器的服务，其目的是利用复杂的动态分析来发现安全和可靠性问题。目前已经有许多其他CNCF项目被整合，例如Kubernetes、Envoy和Fluent-bit，我们很高兴能成为其中的一员。

从外部角度看我们的文档

一个非常重要的反馈是，我们的文档主要是面向最终用户的，他们需要非常具体的建议来了解如何将Flux集成到他们的设置中。我们提供了很多例子，如果你想让Flux有正确的行为，这些例子很有帮助。到目前为止，我们缺少的是一个架构概述和专注于Flux的安全相关方面的文档。

代码审查期间发生了什么

ADA Logics的团队发现了22个单独的问题，其中一些是模糊器的结果。1个高严重度（就是上面提到的CVE），3个中严重度，13个低严重度和5个信息性问题。

我们感谢ADA Logics团队对细节的关注。这些问题包括从依赖性升级到代码中的疏忽（在操作过程中没有关闭的文件，未处理的错误）以及误导性的文档。

问题和严重程度

1:通过命令注入任意执行命令

在kustomize控制器中通过秘密的方式任意执行命令。

2：图像自动控制器中的无参照物低

3：环境变量和命令行参数中暴露的凭证

暴露在环境变量和命令行参数中中

4:使用过时的库低

5:无效和缺失的测试文档信息性

6:错误修复并不总是包括回归测试信息化

7：检查和使用了已被废弃的SHA-1 低

8:缺少校验和验证中

9不一致的和缺失的日志记录低

10:读取大文件时，可能会出现内存不足的问题，从而导致流产。

低

11：文件被打开但从未关闭低

12：未处理的错误低

13:分片的边界超出范围低

14：图像自动控制器中可能出现nil-deref 低

15:不一致的代码风格和潜在的nil-dereferences 信息化

16:出错后缺少返回语句低

17：文件扩展名的比较是区分大小写的低

18：一些依赖关系已经过时信息化

19：部署的pods中缺乏容器安全选项低

20：延迟文件关闭操作产生的未处理错误低

21：x509证书未被用于Webex 中

22：代码中存在不必要的条件信息化

在撰写本文时，43%的问题仍然是TODO，21%是WIP，36%是DONE。

前进的道路

我们很高兴有机会与安全专家一起工作，并让他们审查和测试我们的假设和代码。在早期，我们就决定要尽可能多地从这些发现中获益。这就是为什么我们创建了一个项目板，并在每周的开发会议上把对它的审查作为一个常设议程项目。

"Flux团队还创建了一个公开的、易于跟踪的仪表板，显示了我们共同完成的所有工作，是一个很好的问题跟踪和补救的例子。"

- Derek Zimmer，OSTIF主席兼执行董事

壮大团队

如果你有兴趣在这方面做出贡献，我们非常期待与你合作。我们欢迎在帮助解决路途中的问题，对我们的安全态势提出更多的意见，也欢迎以扩展我们的fuzzing基础设施的形式作出贡献。最后，如果你有任何额外的安全反馈，请来和我们谈谈。

我们正在全力推进Flux路线图，最近有更多的维护者参与其中，并继续听取反馈意见。

我们要再次感谢云原生计算基金会对此次审计的赞助，感谢开源技术改进基金的协调，感谢ADA Logics在审计期间的仔细审查和建议。

我们很高兴也很自豪能够成为这个社区的一部分!