【独家】K8S 漏洞报告|近期重要 bug fix 分析

Fisher 容器魔方

阅读数:3 2019 年 9 月 12 日 14:53

【独家】K8S漏洞报告|近期重要bug fix分析

Kubernetes 近期重要 bug fix 分析

Kubernetes 上游社区近半个月没有 CVE 出现,当前还处于 Code freeze 阶段,以下分析了社区近期重要的 BugFix 情况。

# 82384:Reorder symlinks to prevent path escapes

该 PR 修复了 kubectl cp 命令解压 symlinks 文件的 bug,在在解压缩所有其他文件之后再解压 symlinks 文件,可以保障无法通过该 symlinks 链接写入其对应的文件。另外由于 kubectl cp 命令已经被爆出过很多安全问题,社区正在考虑删除该命令。

详见:

https://groups.google.com/forum/#!topic/kubernetes-sig-release/3oGPk-2ElQA/discussion

# 81732:Fix toleration comparison & merging logic

该问题的背景是 Pod 可能会有多个 toleration,当存在如下的 toleration 时,旧的逻辑会认为他们两个是互相冲突的,会用其中一个覆盖另外一个。新的修改后的逻辑会做一定的逻辑判断,例如假设存在第三个 toleration :{“key”: “foo”, “operator”: “Exists”},则会直接覆盖掉以下两个 toleration,具体逻辑请参考该 PR。

【独家】K8S漏洞报告|近期重要bug fix分析

# 82090:Use http/1.1 for apiserver->webhook clients

该问题的背景是# 75791 这个 issue,描述的现象是当用户的 admission webhook 部署为多实例时,查看监控发现 Kube-ApiServer 只会调用其中一个实例。该 PR 中将 Kube-ApiServer 与 Webhook 的连接改为 http/1.1 协议,解决了负载均衡的问题。

近期 bug fix 数据分析

近期重要 Bug 数量共计 16 个,分类数量和占比统计如下:

【独家】K8S漏洞报告|近期重要bug fix分析严重程度数量统计如下(横坐标 5 为最高,0 为最低):

【独家】K8S漏洞报告|近期重要bug fix分析如下为近期 Bug Fix 的汇总信息:

【独家】K8S漏洞报告|近期重要bug fix分析

收藏

评论

微博

用户头像
发表评论

注册/登录 InfoQ 发表评论