QQ客服:4000600990 客服热线:4001610866 投诉邮箱:jubao@knownsec.com

热门搜索词

抗D保 创宇盾 HSTS SNI 新功能

热门文章

关注知道创宇云安全

获取最新安全动态

Kubernetes 被曝严重安全漏洞 严重性评估高达9.8分

来源:开源中国 2018.12.07

近日,Kubernetes 被爆出严重安全漏洞,该漏洞 CVE-2018-1002105(又名 Kubernetes 特权升级漏洞,https://github.com/kubernetes/kubernetes/issues/71411)被确认为严重性 9.8 分(满分 10 分)。具体来说,恶意用户可以使用 Kubernetes API 服务器连接到后端服务器以发送任意请求,并通过 API 服务器的 TLS 凭证进行身份验证。这一安全漏洞的严重性更在于它可以远程执行,攻击并不复杂,不需要用户交互或特殊权限。

800px-GoogleCloudKubernetes.jpg

更糟糕的是,在 Kubernetes 的默认配置中,允许所有用户(经过身份验证和未经身份验证的用户)执行允许此升级的发现 API 调用。也就是说,任何了解这个漏洞的人都可以掌控你的 Kubernetes 集群

最后的痛苦之处在于,对于用户而言,没有简单的方法来检测此漏洞是否已被使用。由于未经授权的请求是通过已建立的连接进行的,因此它们不会出现在 Kubernetes API 服务器审核日志或服务器日志中。请求确实会出现在 kubelet 或聚合的API服务器日志中,但是却无法与正确通过 Kubernetes API 服务器授权和代理的请求区分开来。

现在,Kubernetes 已经发布了修补版本 v1.10.11、v1.11.5、v1.12.3 和 v1.13.0-rc.1。如果仍在使用 Kubernetes v1.0.x 至 Kubernetes v1.9.x 版本,请即刻停止使用并升级到修补版本。

如果由于某种原因无法进行升级,也必须暂停使用聚合的 API 服务器,并从不应具有对 kubelet API 的完全访问权限的用户中删除 pod exec/attach/portforward 权限(不过也有用户认为这种解决方法的糟糕程度和这个漏洞问题本身不相上下了)。

×
×
×

身份信息验证

应国家法律法规相关要求,自2017年6月1日起使用信息发布、即时通信等服务时,需进行身份信息验证。为保障您对相关服务功能的正常使用,请验证手机邮箱姓名身份证号,感谢您的支持和理解。

验证
4000600990 关注