写点什么

K8s 漏洞报告|Kubernetes v1.15.4 Bug Fix 数据分析

  • 2019-11-20
  • 本文字数:805 字

    阅读完需:约 3 分钟

K8s漏洞报告|Kubernetes v1.15.4 Bug Fix数据分析

CVE-2019-11251 安全漏洞


近期 Kubernetes 社区通过 Google Group 频道 kubernetes-security-announce 发布了与 kubectl 相关的安全漏洞 CVE-2019-11251。


具体的问题出现在 kubectl cp 命令,cp 命令允许两个符号链接的组合,将文件复制到外部的目标目录。这可能会被攻击者使用符号链接将网络文件放置在外部目标目录中。


此问题的影响范围涵盖了如下 Kubernetes Client 版本:


  1. Kubernetes v1.13.10

  2. Kubernetes v1.14.6

  3. Kubernetes v1.15.3


用户可以根据 kubectl version –client 命令获取生产集群中的 Kubernetes Client 版本,来判断是否会遭受此类攻击。这个漏洞已经在最新的版本中修复,修复的版本和 Pull Request 信息如下:



通过如下的操作指南可以升级生产集群中的 Kubernetes Client 版本修复此问题

CVE-2019-16276 安全漏洞


10 月 8 日,Kubernetes 社区通过 Google Group 频道 kubernetes-security-announce 再次发布了与 Go 语言 net/http 相关的安全漏洞 CVE-2019-16276。


这个漏洞导致无效的 http 请求头可能被 go http 服务器例如 Kubernetes APIServer 解析为有效。如果 go http 服务器前端的反向代理例如 Nginx 允许并转发无效的 http 请求头,go http 服务器则可以用与反向代理不同的方式解析这些无效请求头。例如你正在 Kubernetes APIServer 前端使用 Nginx 作为身份验证代理,则会有一组头信息通过 Nginx 传递到 APIServer,例如 x-remote-user、x-remote-groups 等,攻击者可以模拟这些头信息进行身份验证。


Kubernetes 发布团队正在 v1.14、v1.15 和 v1.16 版本构建解决此问题的补丁。具体请查看邮件链接

Kubernetes v1.15.4 Bug Fix 数据分析

Kubernetes v1.15.4 Bug 数量共计 30 个,分类数量和占比统计如下:



严重程度数量统计如下(横坐标 5 为最高,0 为最低):



如下为 Kubernetes v1.15.4 Bug Fix 的汇总信息:




添加小助手微信,加入【容器魔方】技术社群。



2019-11-20 19:011099

评论

发布
暂无评论
发现更多内容

并发编程专题三-JAVA线程的并发工具类,面试要掌握这几个关键点

Java 程序员 后端

微服务你得知道这些!从核心组件到远程调用方式以及HTTP通信方法

Java 程序员 后端

开门见山的问MySQL:InnoDB一棵B+树可以存放多少行数据

Java 程序员 后端

强哥说Java--Java 方法,kafka视频

Java 程序员 后端

快速上手Apache,java递归求阶乘原理

Java 程序员 后端

快速鸟瞰并发编程,-呕心沥血整理的架构技术【2】,分层展示的架构图

Java 程序员 后端

怎么用Redis分布式锁才能确保万无一失?,15个经典面试问题及答案

Java 程序员 后端

干了这么多年的Java面试官,给大家分享我面试时最爱问的Java高频题

Java 程序员 后端

并发编程专题四-原子操作和显示锁,java面试刷题

Java 程序员 后端

怎样成为全栈工程师(Full Stack Developer)(1),已拿offer

Java 程序员 后端

干货!使用Docker构建RabbitMQ高可用负载均衡集群,java面试题汇总及答案

Java 程序员 后端

强哥说Java--Java 变量,java面试逻辑思维题及答案

Java 程序员 后端

强势出击!21天肝完这份字节面试题后直接斩获字节offer

Java 程序员 后端

微服务网关与用户身份识别,JWT+Spring Security进行网关安全认证

Java 程序员 后端

快醒醒吧!互联网大厂面试必问的JVM底层原理,你还搞不清楚

Java 程序员 后端

已拿offer热乎乎的蚂蚁金服面经分享,建议收藏(Java岗、附答案)(1)

Java 程序员 后端

并发容器之BlockingQueue详解,深入linux内核架构中文pdf

Java 程序员 后端

快人一步!阿里爆款Java性能调优手册,源码,如何做到操作系统和并发同步结合

Java 程序员 后端

怎么可能?面试会被Spring难住?Spring框架从入门到精通

Java 程序员 后端

已拿offer热乎乎的蚂蚁金服面经分享,建议收藏(Java岗、附答案)(2)

Java 程序员 后端

年薪80W,Java高薪架构师成长背后血泪史,膜拜大佬

Java 程序员 后端

很全面!每天一分享互联网大厂Java面试真题,java菜鸟教程实例

Java 程序员 后端

干货第一弹-教你如何利用阿里开源工具进行排查线上CPU居高问题

Java 程序员 后端

开发多年put、get、resize不知道,springcloud视频讲解

Java 程序员 后端

已拿offer热乎乎的蚂蚁金服面经分享,建议收藏(Java岗、附答案)

Java 程序员 后端

必知必会JVM四-垃圾收集器介绍,linux驱动开发入门与实践

Java 程序员 后端

应届生想要找到一份Java开发的工作,需要达到什么水平?

Java 程序员 后端

彻底理解coookie、session、token,mybatis的动态sql执行原理

Java 程序员 后端

微服务架构陷阱:过渡设计和设计不足,2021年Java开发前景如何

Java 程序员 后端

年末三面快手Java后端岗,没有刁难轻轻松松就拿下了意向书,分享面经

Java 程序员 后端

应“云”而生的 Java 框架,带你手撸红黑树

Java 程序员 后端

K8s漏洞报告|Kubernetes v1.15.4 Bug Fix数据分析_软件工程_华为云原生团队_InfoQ精选文章