Kubernetes漏洞,请升级生产环境的集群!

  • Kubernetes漏洞,请升级生产环境的集群!已关闭评论
  • 14 views
  • A+
所属分类:Kubernetes

近期Kubernetes爆出安全漏洞,Kubernetes产品安全团队表示,近日在Kubernetes API Server 存在权限扩张漏洞,该漏洞由 Rancher Laba 首席架构师Darren Shepherd发现,漏洞编号为CVE-2018-1002105。

攻击者可通过伪造的请求,在已建立的API Server连接上提权访问后端服务。更加糟糕的是,没有简单的方法可以检测是否已使用此漏洞。由于未经授权的请求是通过已建立的连接进行的,因此它们不会出现在Kubernetes API Server审核日志或服务器日志中。解决此漏洞唯一方式是尽快升级你的Kubernetes。

目前Kubernetes已发布新版本,来解决该漏洞带来的风险,Kubernetes安全团队Google高级工程师Jordan Liggitt建议,Kubernetes企业用户应该尽快选择对应版本进行更新;

CVE-2018-1002105漏洞受影响的版本:

Kubernetes v1.0.x-1.9.x

Kubernetes v1.10.0-1.10.10

Kubernetes v1.11.0-1.11.4

Kubernetes v1.12.0-1.12.2

修复补丁版本:

Kubernetes v1.10.11

Kubernetes v1.11.5

Kubernetes v1.12.3

Kubernetes v1.13.0-RC.1

影响的配置:

  • 集群启用了扩展API server,并且kube-apiserver与扩展API server的网络直接连通;
  • 集群开放了 pod exec/attach/portforward 接口,攻击者可以利用该漏洞获得所有的kubelet API访问权限。

更多详细介绍:

https://github.com/kubernetes/kubernetes/issues/71411

  • 我的微信
  • 微信扫一扫
  • weinxin
  • 微信公众号
  • 微信公众号扫一扫
  • weinxin
avatar