写点什么

K8S 安全成头等大事,2019 年 K8S 漏洞盘点与解读

  • 2020-05-18
  • 本文字数:4629 字

    阅读完需:约 15 分钟

K8S安全成头等大事,2019年K8S漏洞盘点与解读

自 2014 年开源以来,Kubernetes 迅速崛起,受到了众多厂商和开发者们的热烈追捧。发展 5 年时间,Kubernetes 已经成为了容器管理领域的实施标准。然而,随着 Kubernetes 的发展,它的漏洞与变化亦随之成为了广大厂商和开发者们最为关心的问题。


在本文当中,我们将带您重点回顾 2019 年 Kubernetes 的 CVE 漏洞和变化,并关注这些漏洞和变化是如何影响 2019 年的 Kubernetes。最后,我们将重点讲述,针对这些漏洞和变化,Rancher 如何应对,我们又为广大厂商和开发者们保驾护航做了哪些改变?

Kubernetes 安全成头等大事

Rancher 全球第一时间响应

纵观 2019 年,CNCF 中的解决方案都将安全放在了首要位置,并根据安全策略来制定产品战略和设计。2019 年 8 月,Kubernetes 发布了安全性审查的初步结果(https://www.cncf.io/blog/2019/08/06/open-sourcing-the-kubernetes-security-audit/),并提出在项目中推进安全性的计划。

2019 年 1 月 7 日

CVE-2018-18264(Kubernetes 仪表盘漏洞)


Kubernetes仪表盘和外部IP代理漏洞及应对之策


漏洞详情


用户可以“跳过”登录过程,使用配置的服务帐户,最后获得仪表盘所使用的自定义 TLS 证书。


Rancher 第一时间响应


Rancher 第一时间向用户响应。Rancher 1.6.x 不受此漏洞影响,在 Rancher 2.x 中,默认情况下不会启动仪表盘。如果更改了默认设置,则参考 Kubernetes 官方提供的指南修复漏洞。


Kubernetes API 服务器外部 IP 地址代理漏洞


漏洞详情


Kubernetes API 服务器使用节点、node 或服务代理 API,将请求代理到 pod 或节点。通过直接修改 podIP 或 nodeIP,可以将代理请求定向到任何 IP。API 服务器总是被部署在某网络中的,利用这个漏洞就访问该网络中的任何可用 IP 了。


Rancher 第一时间响应


Rancher 第一时间向用户响应。Rancher 1.6.x 不受这一漏洞影响。对于 Rancher 2.x 的用户可以在 Rancher v2.1.5 和 v2.0.10 中使用已经修复了该漏洞的 Kubernetes 版本(v1.10.12、v1.11.6 和 v1.12.4)。

2019 年 2 月 11 日

runc 容器逃逸漏洞


新近爆出的runc容器逃逸漏洞,用户如何面对?


runc容器逃逸漏洞最强后续:应对之策汇总与热点疑问解答


漏洞详情


该漏洞允许以 root 身份运行的容器以特权用户身份在主机上执行任意代码。这一安全漏洞影响了几乎所有 Docker 和 Kubernetes 用户。


Rancher 第一时间响应


Rancher 5 小时快速响应,邮件提醒所有用户漏洞详情及补丁与升级方法。此外,Rancher 立即更新 v2.1.6、v2.0.11 和 v1.6.26 三个版本以支持 Docker 修复漏洞的 18.09.2 新版本,并将修复程序反向移植到所有版本的 Docker 并提供给用户,供不能升级 Docker 的用户修复此漏洞问题。

2019 年 3 月 2 日

CVE-2019-1002100


K8S新安全漏洞的应对之策:API Server拒绝服务漏洞


漏洞详情


该漏洞使得有 API 写入权限的用户在写入资源时导致 Kubernetes API server 过度消耗资源。


Rancher 第一时间响应


Rancher 发布 v2.1.7、v2.0.12 两个版本,支持 Kubernetes 已修复漏洞的新版本(v1.11.8、v1.12.6、v1.13.4)。对于 Rancher 1.6.x 的用户,可以在 Rancher v1.6.26 的 Catalog 中使用 Kubernetes 发布的修复版本 v1.11.8 和 v1.12.6

2019 年 3 月 29 日

Kubernetes新近kubectl及CNI漏洞修复,Rancher 2.2.1发布


CVE-2019-1002101


漏洞详情


这是 kubectl cp 命令中存在的安全漏洞,严重等级为【高】。攻击者可以使用 kubectl cp 命令替换或删除用户工作站上的文件,在用户计算机的任何路径上写入恶意文件。


CVE-2019-9946


漏洞详情


这是 Kubernetes CNI 框架中的安全漏洞,严重等级为【中等】。这一漏洞使得我们配置 HostPorts 端口映射方式时 CNI 插件会在 iptables nat 链之前插入规则,这将优先于 KUBE- SERVICES 链。因此,传入流量时,流量会优先经过 HostPort 的规则,即使之后在链中出现了更适合、更具体的服务定义规则(例如 NodePorts),依然会由 HostPort 的规则来匹配传入的流量。


Rancher 第一时间响应


Rancher 在当天紧急更新,发布了 Rancher v2.2.1、v2.1.8 以及 v2.0.13 这三个新版本,支持 Kubernetes 已经修复本次漏洞的版本(1.11.9、1.12.7 和 1.13.5)。对于 Rancher 1.6.x 的用户,已在 Rancher v1.6.26 的 Catalog(应用程序目录)中添加了对 Kubernetes v1.11.9 和 v1.12.7 的支持。

2019 年 4 月 19 日

CVE-2019-11202


Rancher 2.2.2 Stable版本发布,生产可用!


漏洞详情


Rancher 首次启动时创建的默认管理员帐户将在 Rancher 的后续重新启动时重新创建,即使 Rancher 管理员明确删除了该帐户,也仍会如此。攻击者可以使用这些默认账号密码来获取对 Rancher Server 的管理员访问权限。


Rancher 第一时间响应


发布 Rancher 2.2.2,在其中提供这一漏洞的修复程序。在 Rancher 2.1.x 和 Rancher2.0.x 中也包含了修复程序。此外,对于所有的 Rancher 版本,只要通过禁用默认管理员帐户而不是完全删除它,就可以不受此漏洞影响。

2019 年 6 月 6 日

CVE-2019-12303


Rancher 2.2.4发布,CVE修复,项目监控回归!


漏洞详情


CVE-2019-12303 漏洞中项目管理员可以在对接日志系统时,通过注入额外的 Fluentd 配置参数,来读取到 Fluentd 容器内的文件或执行任意命令,例如其他项目管理员配置的 ElasticSearch。


CVE-2019-12274


漏洞详情


CVE-2019-12303 漏洞中某些内嵌的主机驱动可以配置一个文件路径的参数。通过主机驱动创建主机时,创建者可以通过该漏洞获取 Rancher Server 内任意容器的内容,例如 /root/.kube/config。这样,主机创建者可以获取 Rancher 管理平面的访问权限。


Rancher 第一时间响应


立刻发布 Rancher 2.2.4 修复以上两个安全漏洞。

2019 年 7 月 16 日

CVE-2019-13209


Rancher 2.2.5发布,CVE修复,支持K8S 1.15


漏洞详情


该漏洞称为“跨站点 Websocket 劫持攻击”。攻击者可以通过被攻击者的角色/权限来访问由 Rancher 管理的集群。它要求被攻击者登录到 Rancher 服务器,然后访问由开发者托管的第三方站点。一旦完成,开发人员就能够利用被攻击者的权限和身份对 Kubernetes API 执行命令。


Rancher 第一时间响应


Rancher 立刻更新,发布了 v2.2.5 版本修复该漏洞,同时还发布了 Rancher v2.1.11 和 v2.0.16,这两个版本也提供了此漏洞的修复程序,可供尚未升级至 Rancher 2.2.x 的用户使用。

2019 年 8 月 6 日

CVE-2019-11247 和 CVE-2019-11249


Rancher 2.2.7发布!修复CVE,支持Kubernetes新版本!


漏洞详情


CVE-2019-11247 漏洞会导致 API Server 允许通过错误的范围访问自定义资源。


CVE-2019-11249 漏洞会导致恶意容器在客户端使用 kubectl cp 操作时将有权限在客户端计算机上创建或替换文件。


Rancher 第一时间响应


8 月 7 日,Rancher 发布了最新版本 Rancher 2.2.7,支持 Kubernetes 最新发布的补丁版本(v1.13.9、v1.14.5、v1.15.2)。此外,还发布了 Rancher v2.1.12,可供尚未升级至 Rancher 2.2.x 的用户使用。

2019 年 8 月 20 日

CVE-2019-9512 和 CVE-2019-9514


Rancher 2.2.8发布,支持K8S新CVE的补丁版本!


漏洞详情


Go 语言由于受到 CVE-2019-9512 和 CVE-2019-9514 漏洞影响,因此 Kubernetes 的所有版本和所有组件都受到该漏洞影响。此外,受到影响的还有 HTTP/2 流量(including/healthz)。这两个漏洞还允许不受信任的客户端分配无限量的内存,直到服务器崩溃。


Rancher 第一时间响应


8 月 21 日凌晨,Rancher 紧急发布了 2.2.8 版本,支持 Kubernetes 新的补丁版本(v1.13.10、v1.14.6、v1.15.3)。同时,Rancher Labs 官方还发布了 v2.1.13,可供尚未升级至 Rancher 2.2.x 的用户使用。

2019 年 10 月 17 日

全球第一时间响应:Rancher发布2.3.1,支持K8S CVE修复版本


CVE-2019-11253


漏洞详情


CVE-2019-11253 是 kube-apiserver 中的一个拒绝服务漏洞,它允许授权用户发送恶意的 YAML 或 JSON 有效负载,然后导致 kube-apiserver 消耗过多的 CPU 或内存,从而可能崩溃并变得不可用。


CVE-2019-16276


漏洞详情


CVE-2019-16276 这一漏洞在 Go 的 net/ http 库中 CVE-2019-16276 会导致无效的请求头被 HTTP 服务器规范化并解释为有效。如果 Go HTTP 服务器前的反向代理允许并转发某无效的请求头,但又不对其进行规范化,则 Go 服务器对这些请求头的解释可能与反向代理不同。


Rancher 第一时间响应


Rancher 全球第一时间响应 ,在当天紧急发布了新的版本 Rancher 2.3.1 和 Rancher 2.2.9 以支持 Kubernetes 补丁版本(v1.13.12、v1.14.8、v1.15.5)。Rancher 2.3.1 还添加了对 Kubernetes 1.16.2 的实验性支持。

Rancher 安全体系全新升级

为您的安全保驾护航

为了让 Rancher 的用户能够轻松提升安全意识,我们对安全问题的解决程序进行了全面改革。我们实施了新程序,以确保我们可以将问题及其解决方案引起用户注意,同时避免用户因此遭受损失。具体来说,这一新程序使得我们能够快速发布 Rancher 和 Kubernetes 的安全更新,并在必要时为用户提供 Rancher 工程师的额外支持。


除此之外,我们还 发布了 CIS 自我评估、强化指南,并聘请第三方公司对 Rancher 产品进行渗透测试 。因此,我们整套事件管理流程比以往更高效,并且我们在产品里添加了一些功能,这些功能使用户可以更轻松地保证 Kubernetes 环境的安全。


安全审核是由两家独立的公司进行的,他们对 Rancher 平台进行了白盒渗透测试。名为 Cure53 的公司进行对 Rancher 平台了最新测试,这家公司曾为 CNCF 执行 Prometheus 和 CoreDNS 的安全审核。另外,我们还聘请了 Untamed Theory,它对平台进行了测试并指出可以改进的地方。我们的研发部门结合两组报告修复和验证所有问题。现在,这些报告已经公开(https://rancher.com/docs/rancher/v2.x/en/security/#third-party-pen-test-reports)。后续,我们将继续监控并改进流程,最大程度地提高平台安全性。


在过去一年中,我们在 Rancher 和 RKE 中添加了一些功能,这些功能让 Kubernetes 集群变得更加坚不可摧。


例如,RKE 现在可以:


  • 直接启用加密程序

  • 配置审核日志以及速率限制

  • 通过集群模板轻松部署安全配置的集群


从 Rancher 2.3 开始,管理员可以直接升级新版本的Kubernetes而无需先升级 Rancher。这一特性将 Rancher 发布周期与 Kubernetes 发布周期解耦,这体现了我们确保 Rancher 用户安全的承诺。


我们保障用户安全的工作会在持续改进中前行,而我们计划在 2020 年第二季度初发布 Rancher 2.4 版本。在新版本中,您可以看到令人惊喜的新特性—— 集群将在产品的核心中嵌入 CIS 扫描 ,进而确保安全性和运维团队对 Kubernetes 进行企业部署所需的可观察性。


如果你想要了解更多有关 Kubernetes 和 Rancher 中安全性的信息,或者要查看已经修复的 CVE 或下载 Rancher 强化指南,欢迎查看 Rancher 文档中的安全性部分:


https://rancher.com/docs/rancher/v2.x/en/security/


回首 2019,对于 Kubernetes 来说这是极具挑战的一年,在这一年里安全成为了 Kubernetes 的头等大事。随着 Kubernetes 在企业中的关注度日益增加,集群管理员必须了解如何部署以及保证 Kubernetes 及其工作负载的安全。


Rancher 作为全球用户量最大的企业级 Kubernetes 管理平台,本着对用户负责的态度,在与众多厂商和开发者们息息相关的 Kubernetes 漏洞及变化问题上毫不懈怠,永恒站在修复与安全的第一线,为众多厂商和开发者们的 Kubernetes 旅途保驾护航。


未来,Rancher 也将一如既往支持与守护在用户的 K8S 之路左右,确保大家安全、稳妥、无虞地继续前进。


2020-05-18 18:071235

评论

发布
暂无评论
发现更多内容

模块八-作业二

hunk

云原生训练营

峰会报名|从金融行业技术选型,看 RocketMQ 如何应对严苛挑战

阿里巴巴云原生

阿里云 RocketMQ 云原生 消息队列 峰会报名

构建 Go 应用 docker 镜像的十八种姿势

万俊峰Kevin

微服务 web开发 go-zero docker image Go 语言

几种如何判断环境是否连上网方法!推荐最后一种

华为云开发者联盟

网络 nodejs ipv4 上网 网络接口

分布式数据库排序及优化

vivo互联网技术

分布式数据库

Java培训高并发之线程的6种状态

@零度

线程 JAVA开发 状态

最佳实践:Kubernetes 集群中 DNS 故障的可观测性与根因诊断

阿里巴巴云原生

阿里云 Kubernetes 云原生 服务器 DNS

Python二分查找,字符串模板,textwrap模块,每天写写Python自然就会了,每日Python第2天

梦想橡皮擦

3月月更

为什么说程序猿也要有产品思维

慕枫技术笔记

技术思维 内容合集 3月月更

第四课作业

浪飞

MySQL 15条常用的SQL知识(18/100)

hackstoic

MySQL

千万级学生管理系统考试试卷存储方案

Geek_36cc7c

【BBC learningenglish】with Tango

IT蜗壳-Tango

3月月更

千万学生管理系统之考试模块存储架构设计

随欣所遇

架构训练营5期

前端实现word、excel、pdf、ppt、mp4、图片、文本等文件的预览

CRMEB

千万级学生管理系统的考试试卷存储方案

Geek_8d5fe5

「架构实战营」

uni-app技术分享| uni-app常见问题(二)

anyRTC开发者

uni-app 音视频 WebRTC 移动开发 视频通话

3月技术专题月火热开启!快来一睹为快!

用友BIP

用友 用友iuap

【模块四】千万级学生管理系统考试试卷存储方案设计

yhjhero

#架构训练营

工作想法小计(4):2/28 - 3/4

非晓为骁

个人成长 工作 细节 工作想法

强大的JSON.stringify,你真的会使用吗?

战场小包

JavaScript 前端 3月月更

列存Delta表是个什么东东

华为云开发者联盟

存储 GaussDB(DWS) 列存表 delta表

Java 中线程池的 7 种创建方式!

王磊

Java 面试

一图了解龙蜥社区 2 月运营大事件

OpenAnolis小助手

Linux 开源 操作系统 运营

在阿里巴巴,我们如何先于用户发现和定位 Kubernetes 集群问题?

阿里巴巴云原生

阿里云 云原生 分享 KubeProbe

ScrollView 和 RelativeLayout两个布局技巧

逆锋起笔

android xml 3月月更 android布局

测性能,拿周边|OceanBase 3.1.2版本邀你来玩

OceanBase 数据库

oceanbase OceanBase 开源 OceanBase 社区版

安全大讲堂 | 2022产业趋势洞察:网络安全的下一个十年

腾讯安全云鼎实验室

网络安全 未来发展

数据分析不能落地?快来围观,学会数据分析应用,一起升职加薪!

博文视点Broadview

CNCF Serverless工作流社区携手华为云FunctionGraph,开拓Serverless编排新时代

华为云开发者联盟

json Serverless 华为云 FunctionGraph CNCF Serverless Workflow

如何在windows下成功的编译和安装python组件hyperscan

华为云开发者联盟

正则表达式 windows hyperscan python组件 正则表达式引擎

K8S安全成头等大事,2019年K8S漏洞盘点与解读_文化 & 方法_Rancher_InfoQ精选文章