AI实践哪家强?来 AICon, 解锁技术前沿,探寻产业新机! 了解详情
写点什么

K8s 漏洞报告|Kubernetes v1.15.4 Bug Fix 数据分析

  • 2019-11-20
  • 本文字数:805 字

    阅读完需:约 3 分钟

K8s漏洞报告|Kubernetes v1.15.4 Bug Fix数据分析

CVE-2019-11251 安全漏洞


近期 Kubernetes 社区通过 Google Group 频道 kubernetes-security-announce 发布了与 kubectl 相关的安全漏洞 CVE-2019-11251。


具体的问题出现在 kubectl cp 命令,cp 命令允许两个符号链接的组合,将文件复制到外部的目标目录。这可能会被攻击者使用符号链接将网络文件放置在外部目标目录中。


此问题的影响范围涵盖了如下 Kubernetes Client 版本:


  1. Kubernetes v1.13.10

  2. Kubernetes v1.14.6

  3. Kubernetes v1.15.3


用户可以根据 kubectl version –client 命令获取生产集群中的 Kubernetes Client 版本,来判断是否会遭受此类攻击。这个漏洞已经在最新的版本中修复,修复的版本和 Pull Request 信息如下:



通过如下的操作指南可以升级生产集群中的 Kubernetes Client 版本修复此问题

CVE-2019-16276 安全漏洞


10 月 8 日,Kubernetes 社区通过 Google Group 频道 kubernetes-security-announce 再次发布了与 Go 语言 net/http 相关的安全漏洞 CVE-2019-16276。


这个漏洞导致无效的 http 请求头可能被 go http 服务器例如 Kubernetes APIServer 解析为有效。如果 go http 服务器前端的反向代理例如 Nginx 允许并转发无效的 http 请求头,go http 服务器则可以用与反向代理不同的方式解析这些无效请求头。例如你正在 Kubernetes APIServer 前端使用 Nginx 作为身份验证代理,则会有一组头信息通过 Nginx 传递到 APIServer,例如 x-remote-user、x-remote-groups 等,攻击者可以模拟这些头信息进行身份验证。


Kubernetes 发布团队正在 v1.14、v1.15 和 v1.16 版本构建解决此问题的补丁。具体请查看邮件链接

Kubernetes v1.15.4 Bug Fix 数据分析

Kubernetes v1.15.4 Bug 数量共计 30 个,分类数量和占比统计如下:



严重程度数量统计如下(横坐标 5 为最高,0 为最低):



如下为 Kubernetes v1.15.4 Bug Fix 的汇总信息:




添加小助手微信,加入【容器魔方】技术社群。



2019-11-20 19:011230

评论

发布
暂无评论
发现更多内容

中国信通院发布2021年首批“可信AI成果” 百度摘取5项大奖

百度大脑

人工智能

百度AI师资培训兰州站启动 社会科学家的第一节人工智能课来了!

百度大脑

人工智能 启蒙 教室

MySQL数据的备份和恢复

java小李

myqr java基础

多鲸专访拍乐云赵加雨:素质教育进化,音视频探路新风口

拍乐云Pano

全栈工程师必备技能栈,聊聊月薪两万以内都该会点啥?

java小李

jquery less

学生管理系统架构设计文档示例-模块3

小牧ah

架构实战营

一篇文章告诉你什么是Spring

愚者

Java spring

Git提交信息规范化

admin

git flow git cherry-pick Git Commit git 规范

架构实战营 - 模块 3 - 外包学生管理系统架构文档

蔸蔸

插件编排在 Apache APISIX 中的应用与实践

API7.ai 技术团队

lua 开源 网关 APISIX

21道最新Java面试题剖析(数据库+JVM+微服务+高并发)

java小李

dubbo Spirng

「从零开始学SpringBoot」—如何开始使用?

java小李

maven Sprint Boot

☕️【Java技术之旅】【AbstractQueuedSynchronizer】教你自定义实现自己的同步器

码界西柚

Java 并发编程 AQS 同步器

区块链技术在产品溯源领域的应用

CECBC

云计算深度挖掘“创新潜力”,北鲲云深耕生命科学领域

北鲲云

外包学生管理系统架构文档

十二万伏特皮卡丘

架构实战营

[架构实战营]模块三作业

xyu

#架构实战营

降低“美丽成本”,区块链助力化妆品行业数字化转型

旺链科技

区块链 数字化转型 化妆品行业

百度人脸离线识别SDK安卓版升级指南

百度大脑

人工智能 升级迭代

MySQL 基础知识+索引相关

java小李

MySQL

弯道超车!阿里甩出Spring Security宝典我粉了

java小李

java 14 Sprin

阿里面试必备:100个高频Spring面试题,助你一臂之力

java小李

Spring Boot Sprin

多线程交替输出

愚者

Java 多线程

来自阿里资深架构师的吐血制作,39W字千道Java一线大厂面试题手册

愚者

Java 面试

模块三

泰戈

从一线城市回到三四线城市的第四个月

布衣骇客

回忆 个人总结 生活随想

Spring Boot中常用数据库的配置

偏执

Java spring 后端

Java集合框架

愚者

Java 集合

降低“美丽成本”,区块链助力化妆品行业数字化转型

CECBC

下一个颠覆的领域:区块链如何影响审计行业?(上)

CECBC

非常全面!Java的方法详解和总结,建议收藏

java小李

java基础

K8s漏洞报告|Kubernetes v1.15.4 Bug Fix数据分析_软件工程_华为云原生团队_InfoQ精选文章