在 Rancher 面向包括美国联邦政府在内的高安全环境的 Kubernetes 发行版 RKE2 中发现了一个重大安全漏洞（CVE-2023-32197）。该漏洞在 CVSS 量表中被评为 9.1 级严重性高分，影响 Windows 节点上的 RKE2 部署，允许通过不安全的访问控制列表 (ACL) 未经授权访问敏感文件，可能导致权限升级。

此漏洞允许 BUILTIN\Users 或 NT AUTHORITY\Authenticated Users 组中的任何用户查看或修改 Windows 环境中的关键文件，如二进制文件、脚本、配置和日志文件。未经授权访问这些文件，包括那些存储在 C:\etc\rancher\node\password 和 C:\var\lib\rancher\rke2\agent\logs\kubelet.log 等目录中的文件，可使恶意行为者在受影响的系统上获得更高的权限，从而构成重大安全风险。

该漏洞影响以下文件和目录：

C:\etc\rancher\node\password
C:\var\lib\rancher\rke2\agent\logs\kubelet.log
C:\var\lib\rancher\rke2\data\v1.**.**-rke2r*-windows-amd64-*\bin\*
C:\var\lib\rancher\rke2\bin\*

此问题仅适用于 Windows 环境中的 RKE2 部署，这意味着 RKE2 的 Linux 安装不受此特定漏洞的影响。

Rancher 已在以下 RKE2 版本中解决了此漏洞：

• RKE2 1.31.0
• RKE2 1.30.2
• RKE2 1.29.6
• RKE2 1.28.11
• RKE2 1.27.15

建议用户在 Windows 节点上重新安装 RKE2，并使用已打补丁的版本，以降低此安全风险。此外，管理 Kubernetes 部署的重要工具 Rancher Manager 也受此漏洞影响，Rancher Manager 2.8.9 和 2.9.3 中提供了修补版本。Rancher Manager 2.7 的用户应升级到较新的次要版本，因为该系列不会发布补丁。

对于无法立即应用修补程序的用户，可采取变通方法手动确保受影响文件的 ACL 安全。在每个节点上以管理员身份运行 PowerShell 脚本，可以执行更严格的 ACL，限制对敏感文件的未经授权访问。这种临时措施有助于确保环境安全，直到可以应用完整的补丁程序。