写点什么

Kubernetes CLI 工具安全漏洞可使攻击者在主机运行代码

  • 2019-07-12
  • 本文字数:1453 字

    阅读完需:约 5 分钟

Kubernetes CLI 工具安全漏洞可使攻击者在主机运行代码

Kubernetes 项目最近修补了一个危险的安全漏洞,这个漏洞允许狡猾的攻击者在主机上运行代码。该漏洞不会影响 Kubernetes 系统本身,而是会影响到 kubectl( Kube 控件),该控件是用于 Kubernetes 安装的官方命令行实用程序。安全研究人员在 kubectlcp(复制)操作中发现了一个安全漏洞,该操作用于将文件从容器传输到用户主机。

StackRox 联合创始人兼产品副总裁 Wei Lien Dang 认为该漏洞非常危险。Kubernetes 产品安全委员会委员 Joel Smith 表示此漏洞的详细信息与 CVE-2019-1002101 非常相似。建议安装 Kubernetes 的公司和开发人员将 kubectl 和 Kubernetes 升级到 1.12.9,1.13.6 或 1.14.2 或更高版本。

黑客可通过“复制”操作执行代码

Kubernetes 产品安全委员会委员 Joel Smith 说:“为了从容器中复制文件,Kubernetes 会在容器内运行 tar 以创建一个 tar 存档,再通过网络复制它,kubectl 最后会将其解压到用户的机器上。”


他说:“如果容器中的 tar 二进制文件是恶意的,那么它可以运行任何代码并输出恶意结果。当调用 kubectlcp 时,攻击者可以使用该 tar 将文件写入用户计算机上的任何路径,而仅受本地用户系统权限的限制。“但利用这个漏洞并不简单,因为攻击者需要首先将恶意文件放在 Kubernetes 容器中,然后等待 Kubernetes 管理员将这些文件传输到系统中。恶意文件会自动执行。然而,这种攻击还需要运气和一点社交手段才能成功。

主机侵入可能导致系统彻底被攻破

尽管如此,StackRox 联合创始人兼产品副总裁 Wei Lien Dang 认为该漏洞非常危险。Wei 在一封电子邮件中告诉外媒 ZDNet,“此漏洞令人担忧,因为它允许攻击者覆盖敏感文件路径或添加恶意程序文件,然后利用这些文件破坏 Kubernetes 环境的重要组成部分” 。


“这种类型的漏洞显示了客户端漏洞如何潜在地被用来破坏生产环境,特别是鉴于我们观察到人们并不总是遵循降低这种威胁的最佳实践……例如,用户可能正在生产节点上运行 kubectl,或者没有适当地基于角色的访问控制来限制对整个集群的访问权,或者用户使用了提升后的本地系统权限,”Wei 补充道。 “此外,该漏洞修复程序需要被升级到最新版的 kubectl 中,但这可能更难执行,因为它需要个人用户自己去升级。”

该漏洞目前已经打了两次补丁

该漏洞编号为 CVE-2019-11246,由 Atredis Partners 公司的 Charles Holmes 发现,是云原生计算基金会赞助的安全审计的一部分。“这个漏洞是之前披露的漏洞 (CVE-2019-1002101) 不完整修复之后留下的问题,”Wei 说,漏洞首次修复于今年 3 月。


“此漏洞的详细信息与 CVE-2019-1002101 非常相似。该问题的原始修复程序不完整,并且我们还发现了一种新的利用漏洞的方法,”Smith 说。


我们建议自行安装 Kubernetes 的公司和开发人员将 kubectl 和 Kubernetes 升级到 1.12.9,1.13.6 或 1.14.2 或更高版本。

谷歌云 K8S 同样脆弱

在安全报告中,Google Cloud 管理员表示,“所有 Google Kubernetes Engine (GKE) gcloud 版本都受到此漏洞的影响,因此我们建议您在 gcloud 补丁版本可用时升级到最新版本。”


目前,这个补丁还没有出来。“即将推出的补丁版本将包括此漏洞风险的缓解措施,”谷歌表示。谷歌建议 Google Cloud 客户留意该工具的更新日志,以下载与 kubectl 相关的安全修复程序。


作者介绍:


Catalin Cimpanu,ZDNet 的一名安全记者,报道主题包括:网络安全、数据违规、非法侵入等。此前,他曾担任 Bleeping Computer 和 Softpedia 的安全记者。现居住于罗马尼亚。


原文链接


Kubernetes CLI tool security flaw lets attackers run code on host machine


2019-07-12 16:482815
用户头像

发布了 34 篇内容, 共 20.1 次阅读, 收获喜欢 47 次。

关注

评论

发布
暂无评论
发现更多内容

昆仑分布式数据库Sequence功能及其实现机制

KunlunBase昆仑数据库

分布式数据库

星汉未来成为 FinOps 产业标准生态联盟首批会员

星汉未来

云原生 开源社区 成本优化 IT运维

J2PaaS低代码平台,如何赋能开发者,助力企业数字化?

J2PaaS低代码平台

开发者 低代码 企业数字化 地代码平台 J2PaaS

【Kali】中密码暴力破解工具hydra的使用

学神来啦

网络安全 字典 kali kali Linux

华为SmartCare和AUTIN品牌升级:助力运营商走出5G发展迷宫

脑极体

见证中国云势力崛起!博睿数据实力入围2021~2022 Cloud 100 榜单

博睿数据

分布式事务对于两阶段提交的错误处理

KunlunBase昆仑数据库

分布式数据库

Javascript实现上传图片并实现预览图片功能的三种方法

deal

3月日更 3月程序媛福利 3月月更

多任务学习模型之DBMTL介绍与实现

阿里云大数据AI技术

机器学习 深度学习 数据模型 多任务学习

国内领先的云软件厂商安超云加入,为龙蜥社区注入新动能

OpenAnolis小助手

开源 操作系统 云厂商 国产

昆仑分布式数据库独特的变量读写功能介绍

KunlunBase昆仑数据库

数据库 读写分离

31 家企业入选阿里云首期云原生加速器,共建云原生行业新生态

阿里巴巴中间件

云计算 阿里云 云原生 加速器 生态伙伴

【OpenMLDB Monthly Meeting】2022.2 月会议纪要

第四范式开发者社区

人工智能 数据库 开源 Meetup 特征平台

在线TOML转JSON工具

入门小站

工具

如何使用一个有安全性问题的隐私计算技术?

易观分析

隐私计算

阿里巴巴如何提升构建的效率 | 阿里巴巴DevOps实践指南

阿里云云效

阿里巴巴 阿里云 CI/CD 持续交付 构建工具

Meetup预告|面向云原生的架构及演进

云智慧AIOps社区

开源 云原生 AIOPS 智能运维

培训第二弹!全国大学生智能汽车竞赛百度竞速组预告

百度开发者中心

在一条DML语句中插入/更新/删除/获取几百万行数据,你会特别注意什么?

KunlunBase昆仑数据库

分布式数据库

如何为你的企业创建自助服务知识库

小炮

以领先NLP技术构建AI数字疗法体系,聆心智能致力于解开更多“心结”

硬科技星球

网易X工行:云原生日志系统 Loggie 正式开源!

网易数帆

开源 云原生 日志 Filebeat Loggie

网络安全之文件包含漏洞总结

网络安全学海

黑客 网络安全 信息安全 渗透测试 WEB安全

ARP欺骗攻击

喀拉峻

网络安全

恒源云(GpuShare)_表序编码器的联合实体和关系提取(论文浅谈)

恒源云

自然语言处理 机器学习 深度学习

RTC 音频质量评价和保障

网易云信

WebRTC

开发者说丨如何从零开始构建一个轻量级应用

华为云开发者联盟

Vue 低代码 页面 应用 AppCube

亿级月活沙盒平台《迷你世界》背后的黑科技

华为云数据库小助手

GaussDB DDM 华为云数据库

知识管理——企业数字化转型的新挑战

小炮

【技术学习】一次Node.js站点渗透

H

node.js 网络安全 渗透测试

DSTC10 赛道最佳论文揭晓!文心 PLATO 再获殊荣

百度开发者中心

Kubernetes CLI 工具安全漏洞可使攻击者在主机运行代码_安全_Catalin Cimpanu_InfoQ精选文章