Kubernetes最近爆出特权升级漏洞,这是Kubernetes的首个重大安全漏洞。为了修补这个严重的漏洞,Kubernetes近日推出了几个新版本。

谷歌高级工程师Jordan Liggitt在周一发布的Kubernetes安全公告中称,Kubernetes v1.10.11、v1.11.5,v1.12.3和v1.13.0-rc.1已经发布了修复版本,修复了特权升级漏洞CVE-2018-1002105(https://access.redhat.com/security/vulnerabilities/3716411)。

这个错误的严重程度被指定为9.8(满分10分),因为它可以远程执行,攻击并不复杂,不需要用户交互或特殊权限。

根据Liggitt的说法,恶意用户可以通过Kubernetes API服务器连接到后端服务器,利用API服务器的TLS凭证进行身份验证并发送任意请求。

API服务器是Kubernetes的主要管理实体,它与分布式存储控制器etcd和kublet发生交互,这些代理会监视容器集群中的每个节点。

Rancher Labs的首席架构师兼联合创始人Darren Shepherd发现了这个漏洞。

Red Hat OpenShift是一个面向企业的容器平台,已经为所有产品打上了补丁。

Red Hat OpenShift总经理Ashesh Badani在一篇博文中表示:“这是一个大问题。不法分子不仅可以窃取敏感数据或注入恶意代码,还可以从企业防火墙内破坏应用程序和服务”。

该漏洞主要有两个攻击媒介。

  • 首先,默认情况下,拥有Pod exec/attach/portforward权限的个人可以成为集群管理员,从而​​获得对Pod中任意容器及潜在信息的访问权限。

  • 第二种方法可以让一个未经身份验证的用户访问API,创建未经批准的服务,这些服务可用于注入恶意代码。

Red Hat产品安全保障经理Christopher Robinson在给The Register的一封电子邮件中解释说,“任何未经身份验证但有权限访问Kubernetes环境的用户都可以访问用于代理聚合API服务器(不是kube-apiserver)的端点”。

“向API发送一个消息,造成升级失败,但连接仍然活跃,这个时候可以重用任意标头,获得集群管理员级别的访问权限来访问聚合API服务器。这可以被用于服务目录,进而创建任意服务实例。”

这个漏洞之所以令人如此不安,是因为未经授权的请求很难被检测到。根据Liggitt的说法,它们不会出现在Kubernetes API服务器的审计日志或服务器日志中。恶意请求在kublet或聚合API服务器日志中是可见的,但却难以将它们与经过授权的请求区分开来。

现在的修复办法只有一个,那就是升级Kubernetes,就现在。 Kubernetes v1.10.11,v1.11.5,v1.12.3和v1.13.0-rc.1已经发布了修补版本。

如果你仍在使用Kubernetes v1.0.x-1.9.x,请更新到修补版本。 如果由于某种原因无法升级,还是有补救措施,但破坏性很大:必须暂停使用聚合的API服务器,并从不应有kubelet API完全访问权限的用户中删除pod exec / attach / portforward权限。Jordan Liggitt表示,这些补救措施可能具有破坏性。

所以唯一的解决方法是升级Kubernetes。

虽然现在还没有人利用这个漏洞进行共计,但是滥用漏洞会在日志中留下明显的痕迹。 而且,既然有关Kubernetes特权升级漏洞的消息已经公开,那么这个漏洞被滥用只是时间问题。

因此,在陷入困境之前,还是对Kubernetes系统进行升级吧。

参考链接:

https://www.theregister.co.uk/2018/12/03/container_code_clusterfact_theres_a_hole_in_kubernetes

https://www.zdnet.com/article/kubernetes-first-major-security-hole-discovered/#ftag=RSSbaffb68

Kubernetes首爆严重安全漏洞,请升级你的Kubernetes相关推荐

  1. Kubernetes首个严重安全漏洞发现者,谈发现过程及原理机制

    北美时间11月26日,Kubernetes爆出严重安全漏洞,该漏洞由Rancher Labs联合创始人及首席架构师Darren Shepherd发现.该漏洞CVE-2018-1002105(又名Kub ...

  2. 反病毒还是留后门?卡巴斯基反病毒服务器被爆多个漏洞

    本文讲的是反病毒还是留后门?卡巴斯基反病毒服务器被爆多个漏洞, 1.漏洞信息 类别:Web页面生成("跨站点脚本")[CWE-79],跨站点请求伪造[ CWE-352 ],不正确的 ...

  3. Kubernetes新近kubectl及CNI漏洞修复,Rancher 2.2.1发布

    今天,Kubernetes发布了一系列补丁版本,修复新近发现的两个安全漏洞CVE-2019-1002101(kubectl cp命令安全漏洞)和CVE-2019-9946(CNI端口映射插件漏洞).R ...

  4. oracle12漏洞补丁下载,linux oracle 11g 漏洞补丁升级

    1 lsnrctl stop 关闭监听 2 shutdown immediate 关闭数据库 3 上传压缩包并解压到/home/下 4 chown -R oracle:oinstall 2872926 ...

  5. 开发者周刊:英特尔再爆重大芯片漏洞;微软开源Bing搜索关键算法;Facebook联合创始人呼吁拆分Facebook

    开发者周刊:只为传递"有趣/有用"的开发者内容,点击订阅! 本周热门项目 GitHub推出软件包托管服务Package Registry 本周,GitHub 再下一城,推出自己的软 ...

  6. 瑞星预警:Vista出现首个重大安全漏洞

    12:10消息,国内信息安全厂商瑞星对外发布预警,声称微软Vista操作系统出现首个重大安全漏洞,并且已有黑客开始利用. 瑞星在今日中午12时对外发布的预警中声称,此次被发现的Vista重大漏洞可致使 ...

  7. 用友服务器系统版本低,客户端版本低于服务器端,请升级后再登录

    问题现象: 近期爆发了一轮"客户端版本低于服务器端,请升级后再登录"的报错高峰 问题模块: 其他模块 关键字:客户端版本低于服务器端 问题版本:用友t6企业管理软件" s ...

  8. 国航爆账号串联漏洞,可“无限”获取他人航班信息

    本文讲的是国航爆账号串联漏洞,可"无限"获取他人航班信息,在新京报今天发布的"APP泄露航班信息 80元买到鹿晗航班行程"报道中,曝光了国内某知名航空公司APP ...

  9. 知乎使用爬虫时报10001:请求参数异常,请升级客户端后重试 怎么搞?

    前言: 在使用puppeteer自动爬取知乎上数据的时候,在登录的时候会报错: 10001:请求参数异常,请升级客户端后重试...  相信很多人在爬取知乎数据的时候也会碰到类似的问题,怎么解决呢? 解 ...

最新文章

  1. Open vSwitch相关字段详解之L3:IPv4IPv6
  2. JS原型继承和类式继承
  3. android drawpath填充,Android如何用图片来填充Path封闭路径
  4. 3月16日学习内容整理:metaclass
  5. sql 删除数据_从零开始学SQL:是什么、如何安装、基本语法、表格(创建、删除、更新)、数据(插入、删除、更新)...
  6. mysql 不能添加外键 1215_MySQL错误1215:无法添加外键约束
  7. 深度学习-自动并行计算
  8. nde升级_NDE新闻编辑室工具KDE Plasma Mobile和更多新闻
  9. elasticsearch_head插件安装
  10. zabbix-agent自定义监控项
  11. 详解Linux上iptables配置命令及常见的生产环境防火墙规则
  12. LeetCode(26): 删除排序数组中的重复项
  13. 修改手机屏幕刷新率_今年买手机绕不开高刷新率屏幕,144Hz比120Hz更好吗?
  14. vue数据未加载完成前显示loading遮罩
  15. 【机器学习15】决策树模型详解
  16. froglt教你使用色相环配色(原创理论)
  17. Android软键盘的删除键和activity返回冲突
  18. 双目视觉摄像机的参数标定参考坐标系介绍
  19. MyBatisPlus 又搞事情,发布权限神器!
  20. 云盼智能快递柜提供第三方便民服务平台,解决快递业终端服务困境

热门文章

  1. FreeRTOS(一)——任务管理
  2. ICS共享上网方案与配置
  3. 一起谈.NET技术,asp.net 页面转向 Response.Redirect, Server.Transfer, Server.Execute的区别...
  4. 终于从yahoo手中把域名抢救出来了
  5. 如何解决w3wp占用CPU和内存问题
  6. Documentum之基础(2)
  7. 如何发布自己的 Composer 包
  8. 年会季来临,年会会场管理一招搞定!
  9. 构建应用状态时,你应该避免不必要的复杂性
  10. 关联容器——map、set