近日Kubernetes社群發現安全漏洞 CVE-2018-1002105。通過僞造請求,Kubernetes使用者可以在已建立的API Server連接配接上提權通路後端服務,阿裡雲容器服務已第一時間修複,請登入阿裡雲控制台更新您的Kubernetes版本。
漏洞詳細介紹:
https://github.com/kubernetes/kubernetes/issues/71411 影響版本:- Kubernetes v1.0.x-1.9.x
- Kubernetes v1.10.0-1.10.10 (fixed in v1.10.11)
- Kubernetes v1.11.0-1.11.4 (fixed in v1.11.5)
- Kubernetes v1.12.0-1.12.2 (fixed in v1.12.3)
影響的配置:
- 叢集啟用了擴充API server,并且kube-apiserver與擴充API server的網絡直接連通;
- 叢集開放了 pod exec/attach/portforward 接口,攻擊者可以利用該漏洞獲得所有的kubelet API通路權限。
阿裡雲容器叢集配置
- 阿裡雲容器叢集API Server預設開啟了RBAC,通過主賬号授權管理預設禁止了匿名使用者通路。同時Kubelet 啟動參數為”anonymous-auth=false”,提供了安全通路控制,防止外部入侵。
- 對于使用子賬号的多租戶ACK叢集使用者,子賬号通路Kubernetes,其賬号可能通過Pod exec/attach/portforward越權。如果叢集隻有管理者使用者,則無需過度擔心。
- 子賬号在不經過主賬号自定義授權的情況下預設不具有聚合API資源的通路權限。
解決方法:
對于容器服務ACK的使用者,請進入容器服務-Kubernetes控制台,在叢集-叢集清單-叢集更新中,點選更新一鍵更新到安全版本的Kubernetes。
- 1.11.2更新到1.11.5,
- 1.10.4更新到1.10.11,
- 1.9及以下的版本請先更新到1.10.11以上。(在1.9版本更新1.10版本時,如叢集使用了雲盤資料卷,需在控制台首先更新flexvolume插件)
注: 對于本次漏洞,因為Serverless Kubernetes在此之前已額外加強,使用者不受影響。
![手機軟體抓包工具及其使用方法[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)