近日，Kubernetes 社区在高频讨论的 Kubernetes 严重安全漏洞，编号为 CVE-2018-1002105 [1]（CVSS 评分 9.8 分），受该问题影响的 Kubernetes 版本范围包括：

影响组件：Kubernetes apiserver

其原理是，在有漏洞的 Kubernetes 版本中，攻击者可以通过制造 HTTP Upgrade 失败请求，来获取到后端服务（kubelet，aggregated API server）的未关闭连接。连接一旦建立成功，攻击者可以以管理员权限，向后端服务发送任意请求。

Kubernetes 安全建议方案[1]：

针对匿名用户通过一些安全设置限制提对应权限：
暂停使用聚合的 API 服务器（影响使用聚合服务器 API 的用户）；
设置 --anonymous-auth = false 给 kube-apiserver 禁用匿名请求（可能会破坏 kube-apiserver 的负载均衡器或 kubelet 运行状况检查，并中断 kubeadm join 设置流程）；
删除对所有聚合 API 的所有匿名访问；
对经过身份验证的用户删除对所有聚合 API 访问权限；
非特权 kubelet API 用户中删除 pod exec/attach/ portforward 权限；

漏洞对 Caicloud Compass 产品的影响

此次 Kubernetes 漏洞事件对 Caicloud Compass 的企业客户不会构成影响和威胁，原因如下：

在 Caicloud Compass 产品中，所有对集群 Apiserver 的访问，都经由 Caicloud Compass 的 API gateway 进行访问。恶意用户无法直接利用这个漏洞发起对后端服务的攻击。

同时，才云在即将发行的 Caicloud Compass 2.7.3 版本会使用没有此安全漏洞的 Kubernetes 版本（1.12.3）。对于在生产环境中已经使用 Caicloud Compass 的客户，才云亦可协助升级。

本文转载自才云Caicloud公众号。

原文链接：https://mp.weixin.qq.com/s/7RSFYA_Sg8U-a25OJhfFyg

才云容器云产品团队对 K8S 安全漏洞的声明