国产xxxx99真实实拍_久久不雅视频_高清韩国a级特黄毛片_嗯老师别我我受不了了小说

資訊專欄INFORMATION COLUMN

新版發行+被爆首個嚴重漏洞,Kubernetes動態有點多

jackzou / 2136人閱讀

摘要:首爆嚴重安全漏洞,嚴重性分于昨晚爆出嚴重安全漏洞,該漏洞由聯合創始人及首席架構師發現。其他功能更新對第三方設備監控插件的支持該功能目前被引入為功能。拓撲感知卷調度該功能現成為狀態。

K8S首爆嚴重安全漏洞,嚴重性9.8分

Kubernetes于昨晚爆出嚴重安全漏洞,該漏洞由Rancher Labs聯合創始人及首席架構師Darren Shepherd發現。該漏洞CVE-2018-1002105(又名Kubernetes特權升級漏洞,https://github.com/kubernetes...)被確認為嚴重性9.8分(滿分10分),惡意用戶可以使用Kubernetes API服務器連接到后端服務器以發送任意請求,并通過API服務器的TLS憑證進行身份驗證。這一安全漏洞的嚴重性更在于它可以遠程執行,攻擊并不復雜,不需要用戶交互或特殊權限。


Rancher Labs聯合創始人及首席架構師 Darren Shepherd,同時也是Docker生態核心組織Docker治理委員會(DGAB)的全球僅有的四位個人頂級貢獻者之一。

更糟糕的是,在Kubernetes的默認配置中,允許所有用戶(經過身份驗證和未經身份驗證的用戶)執行允許此升級的發現API調用。也就是說,任何了解這個漏洞的人都可以掌控你的Kubernetes集群。

最后的痛苦之處在于,對于用戶而言,沒有簡單的方法來檢測此漏洞是否已被使用。由于未經授權的請求是通過已建立的連接進行的,因此它們不會出現在Kubernetes API服務器審核日志或服務器日志中。請求確實會出現在kubelet或聚合的API服務器日志中,但是卻無法與正確通過Kubernetes API服務器授權和代理的請求區分開來。

現在,Kubernetes已經發布了修補版本v1.10.11、v1.11.5、v1.12.3和v1.13.0-rc.1。如果您仍在使用Kubernetes v1.0.x至Kubernetes v1.9.x版本,請即刻停止并升級到修補版本。

如果由于某種原因你無法升級,你必須暫停使用聚合的API服務器,并從不應具有對kubelet API的完全訪問權限的用戶中刪除pod exec / attach / portforward權限(不過也有用戶認為這種解決方法的糟糕程度和這個漏洞問題本身不相上下了)。

Kubernetes 1.13發布,三大功能GA

昨晚差不多同一時間,Kubernetes最新版本1.13亦正式發布,這是Kubernetes在2018年的第四次也是最后一次大版本更新。

距離上一版本Kubernetes 1.12發布僅10周時間,1.13是今年Kubernetes更新最快的版本。

Kubernetes 1.13關注的重點依然是Kubernetes的穩定性和可擴展性,此版本中的有三個主要功能正式成為GA狀態,包括:使用kubeadm簡化集群管理、容器存儲接口(CSI)、以及使用CoreDNS作為默認DNS。

使用kubeadm簡化K8S集群管理,該功能已GA

大多數直接使用Kubernetes的用戶在某些時候都會直接上手使用kubeadm。它是管理集群從創建到配置再到升級這一生命周期的重要工具。現在,kubeadm正式GA。kubeadm可以處理現有硬件上的生產集群的引導(bootstrapping),并以最佳實踐方式配置核心Kubernetes組件,以便為新節點提供安全而簡單的連接流程并能夠輕松升級。該GA版本中值得一提的是,現在已經完成的高級特性,特別是可拔性和可配置性。kubeadm的目標是成為管理員和自動化的工具箱以及更高級的系統。這一版本在這個方向上已經邁進了一大步。

容器存儲接口(CSI)現已GA

容器存儲接口(CSI)在作為alpha引入v1.9以及在v1.10作為beta引入之后,現已正式GA。使用CSI,Kubernetes volume變得真正可擴展。這讓第三方存儲提供商可以編寫與Kubernetes互操作而無需觸及核心代碼的插件。Specification本身也達到了1.0的狀態。隨著CSI逐漸穩定,插件作者可以按照自己的節奏開發核心存儲插件。同時,可以在CSI文檔中找到樣本和生產驅動的列表:

https://kubernetes-csi.github...

CoreDNS成為Kubernetes的默認DNS服務器

在Kubernetes1.11中, CoreDNS作為基于DNS的服務發現已經GA。在1.13中,CoreDNS將替換kube-dns,成為Kubernetes的默認DNS服務器。CoreDNS是一個通用的、權威的DNS服務器,提供與Kubernetes向后兼容但可擴展的集成。CoreDNS比以前的DNS服務器具有更少的移動部件,因為它是單個可執行文件和單個進程,并通過創建自定義DNS條目來支持靈活的用例。它也是用Go語言編寫,具有內存安全性。

CoreDNS現在是Kubernetes 1.13+推薦的DNS解決方案。該項目已將常用測試基礎架構切換為默認使用CoreDNS,官方也建議用戶進行切換。對KubeDNS的支持和維護將至少再延續一個版本,但現在是時候開始規劃遷移了。許多OSS安裝工具已經進行了切換,包括1.11中的Kubeadm。如果您使用的是托管解決方案,請與您的供應商確認了解這將如何影響到您。

其他功能更新

對第三方設備監控插件的支持:該功能目前被引入為alpha功能(https://github.com/kubernetes...)。

Kubelet設備插件注冊:該功能將成為stable狀態。這創建了一個通用的Kubelet插件發現模型,可以由不同類型的節點級插件(例如設備插件、CSI和CNI)用于與Kubelet建立通信通道。

拓撲感知卷調度:該功能現成為stable狀態。這使調度程序能夠識別Pod的卷的拓撲約束,例如區域或節點。

APIServer DryRun:該功能即將升級為beta版。這將“應用”和聲明性對象管理從移動kubectl到apiserver,以便修復當前無法修復的許多現有錯誤。

Kubectl Diff:即將升級為beta版。這允許用戶運行kubectl命令以查看本地聲明的對象配置與活動對象的當前狀態之間的差異。

使用持久性卷源的原始塊設備:正逐漸升級為beta版。這使得原始塊設備(非網絡設備)可通過持久卷源進行使用。

用戶現可在GitHub上下載使用Kubernetes的最新版本1.13:

https://github.com/kubernetes...

更多參考:

https://kubernetes.io/blog/20...

https://www.zdnet.com/article...

https://www.theregister.co.uk...

文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。

轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/32789.html

相關文章

  • Kubernetes新近kubectl及CNI漏洞修復,Rancher 2.2.1發布

    摘要:今天,發布了一系列補丁版本,修復新近發現的兩個安全漏洞命令安全漏洞和端口映射插件漏洞。因為端口映射插件是嵌入到版本中的,只有升級至新版本的才能解決此問題。現在修復之后,將端口映射插件的規則由最優先變為附加,則可以讓流量優先由規則處理。 今天,Kubernetes發布了一系列補丁版本,修復新近發現的兩個安全漏洞CVE-2019-1002101(kubectl cp命令安全漏洞)和CVE-...

    dkzwm 評論0 收藏0
  • Kubernetes首個嚴重安全漏洞發現者,談發現過程及原理機制

    摘要:北美時間月日,爆出嚴重安全漏洞,該漏洞由聯合創始人及首席架構師發現。反復深入研究后,我發現問題與不處理非響應和反向代理緩存連接有關。問題是,將僅在反向代理中執行許多請求的授權。大多數負載均衡器在看到升級請求而非響應后不會重用連接。 北美時間11月26日,Kubernetes爆出嚴重安全漏洞,該漏洞由Rancher Labs聯合創始人及首席架構師Darren Shepherd發現。該漏洞...

    darkerXi 評論0 收藏0
  • K8S新安全漏洞的應對之策:API Server拒絕服務漏洞

    摘要:爆出中等嚴重性安全漏洞拒絕服務漏洞。本文將進行漏洞解讀和情景再現,并分享漏洞修復方案,用戶來看應對之策了漏洞美國當地時間年月日,社區發布了拒絕服務的漏洞,即有寫入權限的用戶在寫入資源時會導致過度消耗資源,此漏洞被評級為中等嚴重性。 Kubernetes爆出中等嚴重性安全漏洞——Kubernetes API Server拒絕服務漏洞CVE-2019-1002100。 本文將進行漏洞解讀和...

    defcon 評論0 收藏0
  • Rancher推出k3OS:業界首個Kubernetes操作系統,領跑邊緣計算生態

    摘要:雖然可以安裝在任何的發行版上,但將與底層操作系統分開進行系統補丁或升級的話,操作會很復雜。簡化系統補丁和升級管理員可以通過一組通用的文件管理發行版和發行版,并利用協調部署操作系統升級。 美國時間2019年4月24日,業界領先的容器軟件提供商Rancher Labs(以下簡稱Rancher)正式發布k3OS,這是業界首個專為Kubernetes而生的極輕量操作系統,資源消耗極低,操作極簡...

    joywek 評論0 收藏0
  • 新近爆出的runC容器逃逸漏洞,用戶如何面對?

    摘要:漏洞披露后,在第一時間發布了,用戶可升級到此版本以修復該漏洞。年年底被爆出的首個嚴重安全漏洞,就是由聯合創始人及首席架構師發現的。年月被爆出儀表盤和外部代理安全漏洞時,也是第一時間向用戶響應,確保所有和的用戶都完全不被漏洞影響。 runC是一個根據OCI(Open Container Initiative)標準創建并運行容器的CLI工具,目前Docker引擎內部也是基于runc構建的。...

    trigkit4 評論0 收藏0

發表評論

0條評論

jackzou

|高級講師

TA的文章

閱讀更多
最新活動
閱讀需要支付1元查看
<