2020 Google开发者大会重磅开幕 了解详情

K8s漏洞报告|Kubernetes v1.15.4 Bug Fix数据分析

2019 年 11 月 20 日

K8s漏洞报告|Kubernetes v1.15.4 Bug Fix数据分析

CVE-2019-11251 安全漏洞



近期 Kubernetes 社区通过 Google Group 频道 kubernetes-security-announce 发布了与 kubectl 相关的安全漏洞 CVE-2019-11251。


具体的问题出现在 kubectl cp 命令,cp 命令允许两个符号链接的组合,将文件复制到外部的目标目录。这可能会被攻击者使用符号链接将网络文件放置在外部目标目录中。


此问题的影响范围涵盖了如下 Kubernetes Client 版本:


  1. Kubernetes v1.13.10

  2. Kubernetes v1.14.6

  3. Kubernetes v1.15.3


用户可以根据 kubectl version –client 命令获取生产集群中的 Kubernetes Client 版本,来判断是否会遭受此类攻击。这个漏洞已经在最新的版本中修复,修复的版本和 Pull Request 信息如下:



通过如下的操作指南可以升级生产集群中的 Kubernetes Client 版本修复此问题


CVE-2019-16276 安全漏洞



10 月 8 日,Kubernetes 社区通过 Google Group 频道 kubernetes-security-announce 再次发布了与 Go 语言 net/http 相关的安全漏洞 CVE-2019-16276。


这个漏洞导致无效的 http 请求头可能被 go http 服务器例如 Kubernetes APIServer 解析为有效。如果 go http 服务器前端的反向代理例如 Nginx 允许并转发无效的 http 请求头,go http 服务器则可以用与反向代理不同的方式解析这些无效请求头。例如你正在 Kubernetes APIServer 前端使用 Nginx 作为身份验证代理,则会有一组头信息通过 Nginx 传递到 APIServer,例如 x-remote-user、x-remote-groups 等,攻击者可以模拟这些头信息进行身份验证。


Kubernetes 发布团队正在 v1.14、v1.15 和 v1.16 版本构建解决此问题的补丁。具体请查看邮件链接


Kubernetes v1.15.4 Bug Fix 数据分析


Kubernetes v1.15.4 Bug 数量共计 30 个,分类数量和占比统计如下:



严重程度数量统计如下(横坐标 5 为最高,0 为最低):



如下为 Kubernetes v1.15.4 Bug Fix 的汇总信息:




添加小助手微信,加入【容器魔方】技术社群。



2019 年 11 月 20 日 19:01 363

评论

发布
暂无评论
发现更多内容

人人都是产品经理

二鱼先生

产品经理 个人品牌 职场成长 产品思维

程序员的晚餐 | 6 月 5 日 爆炒鱿鱼

清远

美食

极客时间-架构师培训-1期作业

Damon

Element-UI实战系列:Tree组件的几种使用场景

brave heart

vue.js 前端 Elemen

每周学习总结-架构师培训一期

Damon

食堂就餐卡系统设计

饶军

利其器

宋胖子

IDEA

不可不知的 7 个 JDK 命令

武培轩

Java 程序员 jdk 后端 JVM

Flink源码分析之Flink startupMode是如何起作用的

shengjk1

flink flink 消费 kafak 实时计算 flink源码 flink源码分析

Flink源码分析之Flink是如何kafka读取数据的

shengjk1

flink flink 消费 kafka flink源码分析 flink消费kafka源码解析

食堂就餐卡系统架构设计

Karl

ARTS打卡 week 2

猫吃小怪兽

ARTS 打卡计划

SpringBatch系列之并发并行能力

稻草鸟人

Spring Boot SpringBatch 批量

软件架构第一章总结

itrickzhang

【架构师训练营-作业-1】食堂就餐卡系统设计

小动物

系统设计 极客大学架构师训练营 作业

架构师训练营-命题作业1

水边

极客大学架构师训练营

因为 MongoDB 没入门,我丢了一份实习工作

沉默王二

mongodb

架构师训练营-每周学习总结1

水边

极客大学架构师训练营

ARTS-WEEK2

一周思进

ARTS 打卡计划

架构师训练营第一周作业

小树林

架构师如何做架构总结

Karl

UML练习1 食堂就餐卡系统设计「架构师训练营」

Young

Java 25周年:波澜壮阔的25年

北风

「Java 25周年」

Flink源码分析之FlinkConsumer是如何保证一个partition对应一个thread的

shengjk1

flink flink 消费 kafka 实时计算 flink源码分析

dnsmasq-域名访问及解析缓存

一周思进

程序员的晚餐 | 6 月 4 日 最好吃的土豆

清远

Flink源码分析之Flink 自定义source、sink 是如何起作用的

shengjk1

flink flink源码 flink源码分析 flink自定义source flink自定义sink

架构师训练营第一周作业

芒夏

极客大学架构师训练营

架构师训练营第一周学习总结

王鑫龙

极客大学架构师训练营

【ARTS打卡】Week02

Rex

Flink源码分析之-如何保存 offset

shengjk1

全球首发的中国原创--“飞算全自动软件工程平台”产品发布会

全球首发的中国原创--“飞算全自动软件工程平台”产品发布会

K8s漏洞报告|Kubernetes v1.15.4 Bug Fix数据分析-InfoQ