Kubernetes中文社区
近期Kubernetes爆出安全漏洞,Kubernetes产品安全团队表示,近日在Kubernetes API Server 存在权限扩张漏洞,该漏洞由 Rancher Laba 首席架构师Darren Shepherd发现,漏洞编号为CVE-2018-1002105。
攻击者可通过伪造的请求,在已建立的API Server连接上提权访问后端服务。更加糟糕的是,没有简单的方法可以检测是否已使用此漏洞。由于未经授权的请求是通过已建立的连接进行的,因此它们不会出现在Kubernetes API Server审核日志或服务器日志中。解决此漏洞唯一方式是尽快升级你的Kubernetes。
目前Kubernetes已发布新版本,来解决该漏洞带来的风险,Kubernetes安全团队Google高级工程师Jordan Liggitt建议,Kubernetes企业用户应该尽快选择对应版本进行更新;
CVE-2018-1002105漏洞受影响的版本:
Kubernetes v1.0.x-1.9.x
Kubernetes v1.10.0-1.10.10
Kubernetes v1.11.0-1.11.4
Kubernetes v1.12.0-1.12.2
修复补丁版本:
Kubernetes v1.10.11
Kubernetes v1.11.5
Kubernetes v1.12.3
Kubernetes v1.13.0-RC.1
影响的配置:
- 集群启用了扩展API server,并且kube-apiserver与扩展API server的网络直接连通;
- 集群开放了 pod exec/attach/portforward 接口,攻击者可以利用该漏洞获得所有的kubelet API访问权限。
更多详细介绍:
https://github.com/kubernetes/kubernetes/issues/71411
登录后评论
立即登录 注册