低代码到底是不是行业毒瘤?一线大厂怎么做的?戳此了解>>> 了解详情
写点什么

才云容器云产品团队对 K8S 安全漏洞的声明

2020 年 3 月 03 日

才云容器云产品团队对 K8S 安全漏洞的声明

近日,Kubernetes 社区在高频讨论的 Kubernetes 严重安全漏洞,编号为 CVE-2018-1002105 [1](CVSS 评分 9.8 分),受该问题影响的 Kubernetes 版本范围包括:


  • Kubernetes v1.0.x-1.9.x

  • Kubernetes v1.10.0-1.10.10 (fixed in v1.10.11)

  • Kubernetes v1.11.0-1.11.4 (fixed in v1.11.5)

  • Kubernetes v1.12.0-1.12.2 (fixed in v1.12.3)


影响组件:Kubernetes apiserver


其原理是,在有漏洞的 Kubernetes 版本中,攻击者可以通过制造 HTTP Upgrade 失败请求,来获取到后端服务(kubelet,aggregated API server)的未关闭连接。连接一旦建立成功,攻击者可以以管理员权限,向后端服务发送任意请求。


Kubernetes 安全建议方案[1]:


  • 针对匿名用户通过一些安全设置限制提对应权限:

  • 暂停使用聚合的 API 服务器(影响使用聚合服务器 API 的用户);

  • 设置 --anonymous-auth = false 给 kube-apiserver 禁用匿名请求(可能会破坏 kube-apiserver 的负载均衡器或 kubelet 运行状况检查,并中断 kubeadm join 设置流程);

  • 删除对所有聚合 API 的所有匿名访问;

  • 对经过身份验证的用户删除对所有聚合 API 访问权限;

  • 非特权 kubelet API 用户中删除 pod exec/attach/ portforward 权限;


漏洞对 Caicloud Compass 产品的影响

此次 Kubernetes 漏洞事件对 Caicloud Compass 的企业客户不会构成影响和威胁,原因如下:


在 Caicloud Compass 产品中,所有对集群 Apiserver 的访问,都经由 Caicloud Compass 的 API gateway 进行访问。恶意用户无法直接利用这个漏洞发起对后端服务的攻击。


同时,才云在即将发行的 Caicloud Compass 2.7.3 版本会使用没有此安全漏洞的 Kubernetes 版本(1.12.3)。对于在生产环境中已经使用 Caicloud Compass 的客户,才云亦可协助升级。


本文转载自才云 Caicloud 公众号。


原文链接:https://mp.weixin.qq.com/s/7RSFYA_Sg8U-a25OJhfFyg


2020 年 3 月 03 日 20:19118

评论

发布
暂无评论
发现更多内容

2.2 Go语言从入门到精通:Go语言变量

xcbeyond

go golang 变量声明 28天写作 Go语言从入门到精通

【LeetCode】单调数列Java题解

HQ数字卡

算法 LeetCode 28天写作 2月春节不断更

「架构师训练营 4 期」 第八周 - 001&2

凯迪

架构师训练营 4 期

第四章作业(二)

墨狂之逸才

我眼中的IT售前工作

小谢同学

云计算 职场 解决方案 售前

mybatis的通用插入更新方案

altantisor

Java mybatis

一文搞懂Cookie、Storage、IndexedDB

执鸢者

前端 Cookie indexedDB storage

第9周作业

cafebaby

SQL Server 多表数据增量获取和发布 1

happlyfox

学习 28天写作 2月春节不断更

数字经济发展的时代特色

CECBC区块链专委会

数字经济

区块链架构下的智慧城市发展加速

CECBC区块链专委会

信息安全

区块链与数字货币的发展到底有什么意义

CECBC区块链专委会

数字货币

c++基本语法详解

张鹤羽粑粑

28天挑战 3月日更

Deno VS Node(含Deno真实业务场景实践体验)

秋呈

软件工程 开发 deno Node

诊所数字化:诊所私域直播

boshi

直播带货 数字化医疗 七日更 28天写作

dubbo 源码 v2.7 分析:SPI机制

程序员架构进阶

Java spi 七日更 28天写作 2月春节不断更

架构师训练营 4 期 第9周

引花眠

架构师训练营 4 期

用例2

z

SwiftUI数据流之StateObject& ObservedObject探讨

kingnight_pig

ios swift SwiftUI

(28DW-S8-Day9) 区块链如何对坏节点容错:拜占庭将军问题

mtfelix

28天写作 拜占庭容错 拜占庭将军

作业 - 第四章 业务流程与产品文档 (二)

hao hao

MySQL连接超时关闭问题解决

flyer0126

MySQL MySQL优化

浅谈JVM 垃圾回收原理

跳蚤

最值得阅读的数据仓库书籍推荐

白程序员的自习室

大数据 数据仓库 推荐书籍 数仓 构建模型

SwiftUI数据流之State&Binding

kingnight_pig

ios swift SwiftUI

Java 中 Vector 和 SynchronizedList 的区别

看山

Java 线程安全 vector SynchronizedList

“他者”德意志(三):“翻险峰”的德国电动汽车产业

脑极体

业务中台建设 - 4种部署模式

孝鹏

部署图 隔离性 中台架构

产品经理训练营知识汇总

SilentMacUser

产品经理 产品经理训练营 邱岳

谈学习

Ryan Zheng

学习方法

架构设计篇之微服务实战笔记(九)

小诚信驿站

架构师 刘晓成 小诚信驿站 28天写作

2021 ThoughtWorks 技术雷达峰会

2021 ThoughtWorks 技术雷达峰会

才云容器云产品团队对 K8S 安全漏洞的声明-InfoQ