Kubernetes首爆严重安全漏洞,请升级你的Kubernetes
Kubernetes最近爆出特权升级漏洞,这是Kubernetes的首个重大安全漏洞。为了修补这个严重的漏洞,Kubernetes近日推出了几个新版本。
谷歌高级工程师Jordan Liggitt在周一发布的Kubernetes安全公告中称,Kubernetes v1.10.11、v1.11.5,v1.12.3和v1.13.0-rc.1已经发布了修复版本,修复了特权升级漏洞CVE-2018-1002105(https://access.redhat.com/security/vulnerabilities/3716411)。
这个错误的严重程度被指定为9.8(满分10分),因为它可以远程执行,攻击并不复杂,不需要用户交互或特殊权限。
根据Liggitt的说法,恶意用户可以通过Kubernetes API服务器连接到后端服务器,利用API服务器的TLS凭证进行身份验证并发送任意请求。
API服务器是Kubernetes的主要管理实体,它与分布式存储控制器etcd和kublet发生交互,这些代理会监视容器集群中的每个节点。
Rancher Labs的首席架构师兼联合创始人Darren Shepherd发现了这个漏洞。
Red Hat OpenShift是一个面向企业的容器平台,已经为所有产品打上了补丁。
Red Hat OpenShift总经理Ashesh Badani在一篇博文中表示:“这是一个大问题。不法分子不仅可以窃取敏感数据或注入恶意代码,还可以从企业防火墙内破坏应用程序和服务”。
该漏洞主要有两个攻击媒介。
首先,默认情况下,拥有Pod exec/attach/portforward权限的个人可以成为集群管理员,从而获得对Pod中任意容器及潜在信息的访问权限。
第二种方法可以让一个未经身份验证的用户访问API,创建未经批准的服务,这些服务可用于注入恶意代码。
Red Hat产品安全保障经理Christopher Robinson在给The Register的一封电子邮件中解释说,“任何未经身份验证但有权限访问Kubernetes环境的用户都可以访问用于代理聚合API服务器(不是kube-apiserver)的端点”。
“向API发送一个消息,造成升级失败,但连接仍然活跃,这个时候可以重用任意标头,获得集群管理员级别的访问权限来访问聚合API服务器。这可以被用于服务目录,进而创建任意服务实例。”
这个漏洞之所以令人如此不安,是因为未经授权的请求很难被检测到。根据Liggitt的说法,它们不会出现在Kubernetes API服务器的审计日志或服务器日志中。恶意请求在kublet或聚合API服务器日志中是可见的,但却难以将它们与经过授权的请求区分开来。
现在的修复办法只有一个,那就是升级Kubernetes,就现在。 Kubernetes v1.10.11,v1.11.5,v1.12.3和v1.13.0-rc.1已经发布了修补版本。
如果你仍在使用Kubernetes v1.0.x-1.9.x,请更新到修补版本。 如果由于某种原因无法升级,还是有补救措施,但破坏性很大:必须暂停使用聚合的API服务器,并从不应有kubelet API完全访问权限的用户中删除pod exec / attach / portforward权限。Jordan Liggitt表示,这些补救措施可能具有破坏性。
所以唯一的解决方法是升级Kubernetes。
虽然现在还没有人利用这个漏洞进行共计,但是滥用漏洞会在日志中留下明显的痕迹。 而且,既然有关Kubernetes特权升级漏洞的消息已经公开,那么这个漏洞被滥用只是时间问题。
因此,在陷入困境之前,还是对Kubernetes系统进行升级吧。
参考链接:
https://www.theregister.co.uk/2018/12/03/container_code_clusterfact_theres_a_hole_in_kubernetes
https://www.zdnet.com/article/kubernetes-first-major-security-hole-discovered/#ftag=RSSbaffb68
Kubernetes首爆严重安全漏洞,请升级你的Kubernetes相关推荐
- Kubernetes首个严重安全漏洞发现者,谈发现过程及原理机制
北美时间11月26日,Kubernetes爆出严重安全漏洞,该漏洞由Rancher Labs联合创始人及首席架构师Darren Shepherd发现.该漏洞CVE-2018-1002105(又名Kub ...
- 反病毒还是留后门?卡巴斯基反病毒服务器被爆多个漏洞
本文讲的是反病毒还是留后门?卡巴斯基反病毒服务器被爆多个漏洞, 1.漏洞信息 类别:Web页面生成("跨站点脚本")[CWE-79],跨站点请求伪造[ CWE-352 ],不正确的 ...
- Kubernetes新近kubectl及CNI漏洞修复,Rancher 2.2.1发布
今天,Kubernetes发布了一系列补丁版本,修复新近发现的两个安全漏洞CVE-2019-1002101(kubectl cp命令安全漏洞)和CVE-2019-9946(CNI端口映射插件漏洞).R ...
- oracle12漏洞补丁下载,linux oracle 11g 漏洞补丁升级
1 lsnrctl stop 关闭监听 2 shutdown immediate 关闭数据库 3 上传压缩包并解压到/home/下 4 chown -R oracle:oinstall 2872926 ...
- 开发者周刊:英特尔再爆重大芯片漏洞;微软开源Bing搜索关键算法;Facebook联合创始人呼吁拆分Facebook
开发者周刊:只为传递"有趣/有用"的开发者内容,点击订阅! 本周热门项目 GitHub推出软件包托管服务Package Registry 本周,GitHub 再下一城,推出自己的软 ...
- 瑞星预警:Vista出现首个重大安全漏洞
12:10消息,国内信息安全厂商瑞星对外发布预警,声称微软Vista操作系统出现首个重大安全漏洞,并且已有黑客开始利用. 瑞星在今日中午12时对外发布的预警中声称,此次被发现的Vista重大漏洞可致使 ...
- 用友服务器系统版本低,客户端版本低于服务器端,请升级后再登录
问题现象: 近期爆发了一轮"客户端版本低于服务器端,请升级后再登录"的报错高峰 问题模块: 其他模块 关键字:客户端版本低于服务器端 问题版本:用友t6企业管理软件" s ...
- 国航爆账号串联漏洞,可“无限”获取他人航班信息
本文讲的是国航爆账号串联漏洞,可"无限"获取他人航班信息,在新京报今天发布的"APP泄露航班信息 80元买到鹿晗航班行程"报道中,曝光了国内某知名航空公司APP ...
- 知乎使用爬虫时报10001:请求参数异常,请升级客户端后重试 怎么搞?
前言: 在使用puppeteer自动爬取知乎上数据的时候,在登录的时候会报错: 10001:请求参数异常,请升级客户端后重试... 相信很多人在爬取知乎数据的时候也会碰到类似的问题,怎么解决呢? 解 ...
最新文章
- Open vSwitch相关字段详解之L3:IPv4IPv6
- JS原型继承和类式继承
- android drawpath填充,Android如何用图片来填充Path封闭路径
- 3月16日学习内容整理:metaclass
- sql 删除数据_从零开始学SQL:是什么、如何安装、基本语法、表格(创建、删除、更新)、数据(插入、删除、更新)...
- mysql 不能添加外键 1215_MySQL错误1215:无法添加外键约束
- 深度学习-自动并行计算
- nde升级_NDE新闻编辑室工具KDE Plasma Mobile和更多新闻
- elasticsearch_head插件安装
- zabbix-agent自定义监控项
- 详解Linux上iptables配置命令及常见的生产环境防火墙规则
- LeetCode(26): 删除排序数组中的重复项
- 修改手机屏幕刷新率_今年买手机绕不开高刷新率屏幕,144Hz比120Hz更好吗?
- vue数据未加载完成前显示loading遮罩
- 【机器学习15】决策树模型详解
- froglt教你使用色相环配色(原创理论)
- Android软键盘的删除键和activity返回冲突
- 双目视觉摄像机的参数标定参考坐标系介绍
- MyBatisPlus 又搞事情,发布权限神器!
- 云盼智能快递柜提供第三方便民服务平台,解决快递业终端服务困境
热门文章
- FreeRTOS(一)——任务管理
- ICS共享上网方案与配置
- 一起谈.NET技术,asp.net 页面转向 Response.Redirect, Server.Transfer, Server.Execute的区别...
- 终于从yahoo手中把域名抢救出来了
- 如何解决w3wp占用CPU和内存问题
- Documentum之基础(2)
- 如何发布自己的 Composer 包
- 年会季来临,年会会场管理一招搞定!
- 构建应用状态时,你应该避免不必要的复杂性
- 关联容器——map、set