文档章节

Kubernetes Kubectl曝安全漏洞,用户应该如何应对?

RancherLabs
 RancherLabs
发布于 09/23 10:32
字数 1070
阅读 14
收藏 0

北京时间9月19日,Kubernetes发布了一个编号为CVE-2019-11251的漏洞,该漏洞被标记为中等安全问题。其影响的Kubernetes版本为v1.13.10、v1.14.6和v1.15.3。经过分析,Rancher安全风险评估团队认为,此次Kubernetes CVE不会影响Rancher产品的安全问题,因此无需立即发布2.1.x和2.2.x版本,且我们将在下一个季度的第一个维护版本中升级Rancher UI中使用的kubectl版本。

CVE-2019-11251

如果您无法确定自己使用的版本是否受到安全漏洞的影响,您可以运行kubectl version –client这一命令,如果它返回的Kubernetes版本为v1.13.10、v1.14.6 和 v1.15.3,那么建议您尽快升级,详情参阅:

https://kubernetes.io/docs/tasks/tools/install-kubectl/

漏洞详情

这一漏洞和CVE-2019-1002101以及CVE-2019-11246十分类似。该漏洞允许两个symlink的组合将文件复制到其目标目录之外。这使得攻击者可以使用目标树之外的symlink放置netfarious文件。

在Kubernetes 1.16中,通过移除在kubectl cp中对symlink的支持修复了这一问题。官方建议你使用exec命令行和tar包组合作为替代。详情请参阅:

https://github.com/kubernetes/kubernetes/pull/82143

根据这一安全漏洞,还有另一种修复方式:改变kubectl cp un-tar symlink的逻辑,通过解压缩所有常规文件之后解压缩symlink。这样可以保证无法通过symlink写入文件。这一修复方式在v1.15.4、v1.14.7和v1.13.11中更新。

Kubernetes 1.16发布

美国时间9月18日Kubernetes发布了2019年的第三个新版本1.16。这一版本由31个增强功能组成:8个stable、8个beta、15个alpha。这一版本更新主要围绕以下4个方面:

  • Custom resources:CRD是Kubernetes扩展的轻量级机制,保证新类型资源的使用。在1.16版本中,CRD正式GA。

  • Admission webhooks:Admission webhook是Kubernetes的扩展机制,在1.9版本已经可以使用beta版本,在1.16中,Admission webhook也正式GA。

  • Overhauled metrics:之前Kubernetes已广泛使用全局metrics registry来注册要公开的metrics。通过实现metrics registry,metrics可以以一种更为透明的方式注册。而在这之前,Kubernetes metrics 被排除在任何稳定性需求之外。

  • Volume Extension:在本次更新中有大量关于volume和volume修改相关的增强。CSI 规范中对 Volume 调整的支持正在转向 Beta 版本,它允许任何 CSI spec Volume 插件都可以调整大小。

更多新版本详情,请参阅:

https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG-1.16.md#v1160

Rancher的应对之策

Rancher安全风险评估团队经过分析后确认,此次Kubernetes CVE不会影响Rancher产品的安全问题,因此Rancher团队不会立即发布新的2.1.x和2.2.x修复版本,但在下季度计划发布的第一个维护版本中将升级Rancher UI中使用的kubectl版本。

用户将文件从容器复制到主机时,上游CVE会影响kubectl cp命令,进而会导致主机允许两个symlink将文件复制到目标目录之外。但是这一场景与Rancher UI中使用的kubectl无关,因为每个kubectl会话仅启动临时数据存储,该数据存储在会话关闭时消失。

此次CVE不会对Rancher产品自身的安全性造成影响,理论上亦不属于Rancher产品支持范围,不过Rancher团队依然建议Rancher 2.x用户升级自己本地的kubectl版本,且Rancher也会在下季度计划发布的第一个维护版本中升级Rancher UI中使用的kubectl版本。

对于Rancher的企业级订阅客户,如果您对K8S这一CVE有任何疑虑、想要获取更多安全问题咨询或者升级指南,都可以联系Rancher Support Team获取技术支持。

© 著作权归作者所有

RancherLabs
粉丝 95
博文 254
码字总数 553319
作品 0
深圳
程序员
私信 提问
Kubernetes新近kubectl及CNI漏洞修复,Rancher 2.2.1发布

今天,Kubernetes发布了一系列补丁版本,修复新近发现的两个安全漏洞CVE-2019-1002101(kubectl cp命令安全漏洞)和CVE-2019-9946(CNI端口映射插件漏洞)。Rancher也紧急更新,发布一系列新...

RancherLabs
04/01
206
1
K8S新安全漏洞的应对之策:API Server拒绝服务漏洞

Kubernetes爆出中等严重性安全漏洞——Kubernetes API Server拒绝服务漏洞CVE-2019-1002100。 本文将进行漏洞解读和情景再现,并分享漏洞修复方案,Rancher用户来看应对之策了! CVE-2019-1...

RancherLabs
03/08
70
0
Kubernetes 命令行存在新的漏洞

根据 TECHERATI 网站报道,Atredis Partners 公司的安全研究人员 Charles Holmes 在 Kubernetes 中发现了一个新的漏洞,如果利用该漏洞,攻击者可以将恶意容器放置到用户工作站上。 该漏洞影...

afterer
06/26
1K
2
K8s kubectl 复制命令曝目录遍历漏洞

Twistlock 的安全研究人员 Ariel Zelivansky 披露了 Kubernetes kubectl 复制命令的一个目录遍历漏洞。 出现漏洞的是命令 kubectl cp,该命令允许在容器和用户计算机之间复制文件。要从容器中...

h4cd
04/01
2.7K
2
CVE-2019-11244漏洞到底该如何修复?--关于缓存文件权限设置

2019年5月,Kubernetes社区(后面简称”社区“)修复了标号为CVE-2019-11244的安全漏洞,这个修复方案似乎并不彻底,于是有人发布Issue对此提出异议,希望提供进一步修复方案。 虽然Kuberne...

恋恋美食
07/30
40
0

没有更多内容

加载失败,请刷新页面

加载更多

3_数组

3_数组

行者终成事
今天
7
0
经典系统设计面试题解析:如何设计TinyURL(二)

原文链接:https://www.educative.io/courses/grokking-the-system-design-interview/m2ygV4E81AR 编者注:本文以一道经典的系统设计面试题:《如何设计TinyURL》的参考答案和解析为例,帮助...

APEMESH
今天
7
0
使用logstash同步MySQL数据到ES

概述   在生成业务常有将MySQL数据同步到ES的需求,如果需要很高的定制化,往往需要开发同步程序用于处理数据。但没有特殊业务需求,官方提供的logstash就很有优势了。   在使用logstas...

zxiaofan666
今天
10
0
X-MSG-IM-分布式信令跟踪能力

经过一周多的鏖战, X-MSG-IM的分布式信令跟踪能力已基本具备, 特点是: 实时. 只有要RX/TX就会实时产生信令跟踪事件, 先入kafka, 再入influxdb待查. 同时提供实时sub/pub接口. 完备. 可以完整...

dev5
今天
7
0
OpenJDK之CyclicBarrier

OpenJDK8,本人看的是openJDK。以前就看过,只是经常忘记,所以记录下 图1 CyclicBarrier是Doug Lea在JDK1.5中引入的,作用就不详细描述了,主要有如下俩个方法使用: await()方法,如果当前线...

克虏伯
今天
8
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部