Kritikus hiba: CVE-2025-10725
A hibát a CVE-2025-10725 azonosítóval látták el. A Red Hat „fontosnak” értékelte, ennek ellenére szinte sehol nem kapott vészjelzést – részben azért, mert ugyan szükség van hitelesítésre, de ez is szinte formális. A probléma a ClusterRole „kueue-batch-user-role” szerepkör hibás hozzárendeléséből ered, amely automatikusan minden hitelesített felhasználói csoportnak széles jogköröket ad, többek között OpenShift-feladatok (OpenShift Jobs) indítását bármely névtérben (namespace). Egy rosszindulatú felhasználó ezt kihasználva jogosultságlopást hajthat végre, végül „root” szintű hozzáférést is szerezve az egész klaszterhez.
Mit tehetsz ellene?
A Red Hat azt javasolja, hogy törölni kell a ClusterRoleBindingot, amely a „kueue-batch-user-role” szerepet a „system:authenticated” csoporthoz rendeli. Ezen kívül a jogosultságokat csak szükség szerint, specifikus felhasználóknak vagy csoportoknak célszerű kiosztani, és kerülni kell a széles körű, rendszerszintű engedélyek adását.
Miért veszélyes ez?
A szakértők hangsúlyozzák: ezt a sebezhetőséget sürgősen javítani kell, és célszerű feltételezni, hogy a rendszert már kompromittálták. Az üzemeltetőknek nemcsak javítaniuk kell, hanem utólagos vizsgálatokat is folytatniuk annak eldöntésére, történt-e már visszaélés. Ez a sérülékenység tökéletes célpontot jelent a mesterséges intelligenciát és adatokat célzó hackerek számára, és gyors reagálást követel.
