K8s 漏洞报告|Kubernetes v1.15.4 Bug Fix 数据分析

阅读数:241 2019 年 11 月 20 日 19:01

K8s漏洞报告|Kubernetes v1.15.4 Bug Fix数据分析

CVE-2019-11251 安全漏洞

K8s漏洞报告|Kubernetes v1.15.4 Bug Fix数据分析近期 Kubernetes 社区通过 Google Group 频道 kubernetes-security-announce 发布了与 kubectl 相关的安全漏洞 CVE-2019-11251。

具体的问题出现在 kubectl cp 命令,cp 命令允许两个符号链接的组合,将文件复制到外部的目标目录。这可能会被攻击者使用符号链接将网络文件放置在外部目标目录中。

此问题的影响范围涵盖了如下 Kubernetes Client 版本:

  1. Kubernetes v1.13.10
  2. Kubernetes v1.14.6
  3. Kubernetes v1.15.3

用户可以根据 kubectl version –client 命令获取生产集群中的 Kubernetes Client 版本,来判断是否会遭受此类攻击。这个漏洞已经在最新的版本中修复,修复的版本和 Pull Request 信息如下:

通过如下的操作指南可以升级生产集群中的 Kubernetes Client 版本修复此问题

CVE-2019-16276 安全漏洞

K8s漏洞报告|Kubernetes v1.15.4 Bug Fix数据分析

10 月 8 日,Kubernetes 社区通过 Google Group 频道 kubernetes-security-announce 再次发布了与 Go 语言 net/http 相关的安全漏洞 CVE-2019-16276。

这个漏洞导致无效的 http 请求头可能被 go http 服务器例如 Kubernetes APIServer 解析为有效。如果 go http 服务器前端的反向代理例如 Nginx 允许并转发无效的 http 请求头,go http 服务器则可以用与反向代理不同的方式解析这些无效请求头。例如你正在 Kubernetes APIServer 前端使用 Nginx 作为身份验证代理,则会有一组头信息通过 Nginx 传递到 APIServer,例如 x-remote-user、x-remote-groups 等,攻击者可以模拟这些头信息进行身份验证。

Kubernetes 发布团队正在 v1.14、v1.15 和 v1.16 版本构建解决此问题的补丁。具体请查看邮件链接

Kubernetes v1.15.4 Bug Fix 数据分析

Kubernetes v1.15.4 Bug 数量共计 30 个,分类数量和占比统计如下:

K8s漏洞报告|Kubernetes v1.15.4 Bug Fix数据分析

严重程度数量统计如下(横坐标 5 为最高,0 为最低):

K8s漏洞报告|Kubernetes v1.15.4 Bug Fix数据分析

如下为 Kubernetes v1.15.4 Bug Fix 的汇总信息:

K8s漏洞报告|Kubernetes v1.15.4 Bug Fix数据分析

K8s漏洞报告|Kubernetes v1.15.4 Bug Fix数据分析

添加小助手微信,加入【容器魔方】技术社群。
K8s漏洞报告|Kubernetes v1.15.4 Bug Fix数据分析

评论

发布