红帽白皮书新鲜出炉!点击获取,让你的云战略更胜一筹! 了解详情
写点什么

Kubernetes 首爆严重安全漏洞,请升级你的 Kubernetes

无明,张婵整理

  • 2018-12-04
  • 本文字数:1383 字

    阅读完需:约 5 分钟

Kubernetes首爆严重安全漏洞,请升级你的Kubernetes

Kubernetes 最近爆出特权升级漏洞,这是 Kubernetes 的首个重大安全漏洞。为了修补这个严重的漏洞,Kubernetes 近日推出了几个新版本。


谷歌高级工程师 Jordan Liggitt 在周一发布的 Kubernetes 安全公告中称,Kubernetes v1.10.11、v1.11.5,v1.12.3 和 v1.13.0-rc.1 已经发布了修复版本,修复了特权升级漏洞 CVE-2018-1002105(https://access.redhat.com/security/vulnerabilities/3716411)。


这个错误的严重程度被指定为 9.8(满分 10 分),因为它可以远程执行,攻击并不复杂,不需要用户交互或特殊权限。


根据 Liggitt 的说法,恶意用户可以通过 Kubernetes API 服务器连接到后端服务器,利用 API 服务器的 TLS 凭证进行身份验证并发送任意请求。


API 服务器是 Kubernetes 的主要管理实体,它与分布式存储控制器 etcd 和 kublet 发生交互,这些代理会监视容器集群中的每个节点。


Rancher Labs 的首席架构师兼联合创始人 Darren Shepherd 发现了这个漏洞。


Red Hat OpenShift 是一个面向企业的容器平台,已经为所有产品打上了补丁。


Red Hat OpenShift 总经理 Ashesh Badani 在一篇博文中表示:“这是一个大问题。不法分子不仅可以窃取敏感数据或注入恶意代码,还可以从企业防火墙内破坏应用程序和服务”。


该漏洞主要有两个攻击媒介。


  • 首先,默认情况下,拥有 Pod exec/attach/portforward 权限的个人可以成为集群管理员,从而​​获得对 Pod 中任意容器及潜在信息的访问权限。

  • 第二种方法可以让一个未经身份验证的用户访问 API,创建未经批准的服务,这些服务可用于注入恶意代码。


Red Hat 产品安全保障经理 Christopher Robinson 在给 The Register 的一封电子邮件中解释说,“任何未经身份验证但有权限访问 Kubernetes 环境的用户都可以访问用于代理聚合 API 服务器(不是 kube-apiserver)的端点”。


“向 API 发送一个消息,造成升级失败,但连接仍然活跃,这个时候可以重用任意标头,获得集群管理员级别的访问权限来访问聚合 API 服务器。这可以被用于服务目录,进而创建任意服务实例。”


这个漏洞之所以令人如此不安,是因为未经授权的请求很难被检测到。根据 Liggitt 的说法,它们不会出现在 Kubernetes API 服务器的审计日志或服务器日志中。恶意请求在 kublet 或聚合 API 服务器日志中是可见的,但却难以将它们与经过授权的请求区分开来。


现在的修复办法只有一个,那就是升级 Kubernetes,就现在。 Kubernetes v1.10.11,v1.11.5,v1.12.3 和 v1.13.0-rc.1 已经发布了修补版本。


如果你仍在使用 Kubernetes v1.0.x-1.9.x,请更新到修补版本。 如果由于某种原因无法升级,还是有补救措施,但破坏性很大:必须暂停使用聚合的 API 服务器,并从不应有 kubelet API 完全访问权限的用户中删除 pod exec / attach / portforward 权限。Jordan Liggitt 表示,这些补救措施可能具有破坏性。


所以唯一的解决方法是升级 Kubernetes。


虽然现在还没有人利用这个漏洞进行共计,但是滥用漏洞会在日志中留下明显的痕迹。 而且,既然有关 Kubernetes 特权升级漏洞的消息已经公开,那么这个漏洞被滥用只是时间问题。


因此,在陷入困境之前,还是对 Kubernetes 系统进行升级吧。


参考链接:


https://www.theregister.co.uk/2018/12/03/container_code_clusterfact_theres_a_hole_in_kubernetes


https://www.zdnet.com/article/kubernetes-first-major-security-hole-discovered/#ftag=RSSbaffb68


2018-12-04 11:272212

评论 1 条评论

发布
暂无评论
发现更多内容

芯片工程师太贵?贵你妹啊

IC男奋斗史

芯片行业思考

国内外最知名的9大工作任务管理软件盘点

PingCode

澜起科技加入,龙蜥社区再迎领先的芯片设计厂商

OpenAnolis小助手

Linux 开源 操作系统 生态 龙蜥社区

一文带你认识 SOFARegistry 之基础架构篇

SOFAStack

开源 架构 注册中心 SOFA

系统学习 TypeScript(五)——联合类型

编程三昧

typescript 前端 3月月更 联合类型

在线Excel文件解析转换成JSON格式

入门小站

工具

招聘宣讲会|Rust 如何为量化行业加速赋能?

非凸科技

Redis 主从复制的原理及演化

百度开发者中心

凤姐如何变冰冰?

IC男奋斗史

芯片技术

基于XuperChain的区块链项目从0到N

刘旭东

区块链 XuperChain

火山引擎、阿里云、腾讯云联合发布"超低延时"直播技术标准

字节跳动视频云技术团队

音视频

我的奋斗:我在外企那些年(二)

IC男奋斗史

职业规划 芯片行业思考

裸奔?哒咩!

IC男奋斗史

芯片技术

直播带练 | 30 分钟用阿里云容器服务和容器网络文件系统搭建 WordPress 网站

阿里巴巴云原生

阿里云 云原生 课程 容器服务 直播回放

华为,在行星的十字路口

脑极体

看到字节跳动28岁员工猝死,我都想润了......

IC男奋斗史

职业规划 芯片行业思考

微博评论架构设计

刘洋

#架构实战营 「架构实战营」

VuePress 博客优化之中文锚点跳转问题

冴羽

typescript Vue 博客 vuepress 博客搭建

我是一名数学专业的应届博士,我该如何选择offer?

IC男奋斗史

职业规划

第三次“世界大战”——芯片保卫战,无烟的战场

IC男奋斗史

芯片行业思考

OceanBase 社区版 OCP 功能解读

OceanBase 数据库

分布式 OceanBase 社区版 工具家族

我的奋斗:我在外企那些年(一)

IC男奋斗史

职业规划 芯片行业思考

芯荒荒,汽车芯片路在何方

IC男奋斗史

芯片行业思考 芯片技术

博文推荐|使用 Apache Pulsar 构建边缘应用程序

Apache Pulsar

开源 架构 分布式 云原生 Apache Pulsar

iOS防截屏|担心App内容被截屏泄露吗?这个开源库就是你要的

LabLawliet

ios

2023届校园招聘正式开启!OceanBase 想和你在这个春天约一场面试

OceanBase 数据库

招聘 校园招聘 oceanbase

润还是不润?这是个问题

IC男奋斗史

职业规划 芯片行业思考

这是我们的黄金时代

IC男奋斗史

职业规划 芯片行业思考 芯片技术

揭秘视频千倍压缩背后的技术原理之环路滤波

拍乐云Pano

音视频 RTC 视频编码 音视频开发 视频压缩

对信用卡欺诈 Say No!百行代码实现简化版实时欺诈检测

沃趣科技

数据库表

IC应届生40万白菜价!从业多年的资深专家手把手指导你如何选择offer!

IC男奋斗史

职业规划

Kubernetes首爆严重安全漏洞,请升级你的Kubernetes_安全_InfoQ精选文章