K8S新安全漏洞的應(yīng)對之策：API Server拒絕服務(wù)漏洞

defcon 發(fā)布于2019-07-01 17:07 / 852人閱讀

摘要：爆出中等嚴(yán)重性安全漏洞拒絕服務(wù)漏洞。本文將進(jìn)行漏洞解讀和情景再現(xiàn)，并分享漏洞修復(fù)方案，用戶來看應(yīng)對之策了漏洞美國當(dāng)?shù)貢r間年月日，社區(qū)發(fā)布了拒絕服務(wù)的漏洞，即有寫入權(quán)限的用戶在寫入資源時會導(dǎo)致過度消耗資源，此漏洞被評級為中等嚴(yán)重性。

Kubernetes爆出中等嚴(yán)重性安全漏洞——Kubernetes API Server拒絕服務(wù)漏洞CVE-2019-1002100。

本文將進(jìn)行漏洞解讀和情景再現(xiàn)，并分享漏洞修復(fù)方案，Rancher用戶來看應(yīng)對之策了！

CVE-2019-1002100漏洞

美國當(dāng)?shù)貢r間2019年3月2日，Kubernetes社區(qū)發(fā)布了Kubernetes API server拒絕服務(wù)的漏洞（CVE-2019-1002100），即有API寫入權(quán)限的用戶在寫入資源時會導(dǎo)致Kubernetes API server過度消耗資源，此漏洞被評級為【中等嚴(yán)重性】。

此漏洞表現(xiàn)為用戶在向Kubernetes API server發(fā)送 json-patch規(guī)則的補(bǔ)丁包來更新資源對象時（例如kubectl patch xxx --type json 或者“Content-Type: application/json-patch+json”)，Kubernetes API server會消耗極大的資源，最終導(dǎo)致API server拒絕連接。

https://github.com/kubernetes...

情景再現(xiàn)

一個json-patch的例子：

kubectl patch deployment test --type="json" -p "[{"op": "add", "path": "/metadata/labels/test", "value": "test"}，{"op": "add", "path": "/metadata/labels/app", "value": "test"} ,{…} ]"

當(dāng)我們向Kubernetes頻繁地發(fā)送多個json-patch請求來更新資源對象時，可以發(fā)現(xiàn)Kubernetes API server會消耗很多資源來處理我們的請求。

此時會有一部分資源的patch請求失敗，無法得到Kubernetes API server的響應(yīng)。

受此漏洞影響的Kubernetes API server的版本包括：

v1.0.0 – 1.10.x

v1.11.0 – 1.11.7

v1.12.0 – 1.12.5

v1.13.0 – 1.13.3

Kubernetes官方建議用戶在升級至修復(fù)版本之前，可針對此漏洞的采取的緩解措施為：

對不受信任用戶移除patch權(quán)限

漏洞修復(fù)

Kubernetes社區(qū)很快地修復(fù)了此漏洞，增加了對用戶json-patch操作數(shù)量的限制。

當(dāng)用戶對某一資源對象修改的 json-patch 內(nèi)容超過10000個操作時，Kubernetes API server會返回413（RequestEntityTooLarge）的錯誤。

錯誤信息如下：

Request entity too large: The allowed maximum operations in a JSON patch is 10000, got 10004

修復(fù)的Kubernetes版本包括：

v1.11.8

v1.12.6

v1.13.4

Rancher已發(fā)布最新版本應(yīng)對此次漏洞

此次也一如既往，在Kubernetes自身爆出漏洞之后，Rancher Labs團(tuán)隊(duì)都第一時間響應(yīng)，保障使用Rancher平臺管理Kubernetes集群的用戶的安全。

如果你是使用Rancher平臺管理Kubernetes集群，不用擔(dān)心，Rancher已于今日發(fā)布了最新版本，支持包含漏洞修復(fù)的Kubernetes版本，保障所有Rancher用戶的Kubernetes集群不受此次漏洞困擾。

最新發(fā)布的Rancher版本為：

v2.1.7（提供Kubernetes v1.11.8, v1.12.6, v1.13.4支持）

v2.0.12（提供Kubernetes v1.11.8支持）

對于Rancher 1.6.x的用戶，可以在Rancher v1.6.26的Catalog中使用Kubernetes發(fā)布的修復(fù)版本 v1.11.8和v1.12.6

此次漏洞會影響的Kubernetes版本范圍較廣，建議中招的用戶盡快升級喲！

為用戶的Docker & K8S之旅護(hù)航

Rancher Kubernetes平臺擁有著超過一億次下載量，我們深知安全問題對于用戶而言的重要性，更遑論那些通過Rancher平臺在生產(chǎn)環(huán)境中運(yùn)行Docker及Kubernetes的數(shù)千萬用戶。

2018年年底Kubernetes被爆出的首個嚴(yán)重安全漏洞CVE-2018-1002105，就是由Rancher Labs聯(lián)合創(chuàng)始人及首席架構(gòu)師Darren Shepherd發(fā)現(xiàn)的。

2019年1月Kubernetes被爆出儀表盤和外部IP代理安全漏洞CVE-2018-18264時，Rancher Labs也是第一時間向用戶響應(yīng)，確保所有Rancher 2.x和1.6.x的用戶都完全不被漏洞影響。

2019年2月爆出的嚴(yán)重的runc容器逃逸漏洞CVE-2019-5736，影響到大多數(shù)Docker與Kubernetes用戶，Rancher Kubernetes管理平臺和RancherOS操作系統(tǒng)均在不到一天時間內(nèi)緊急更新，是業(yè)界第一個緊急發(fā)布新版本支持Docker補(bǔ)丁版本的平臺，還幫忙將修復(fù)程序反向移植到所有版本的Docker并提供給用戶，且提供了連Docker官方都不支持的針對Linux 3.x內(nèi)核的修復(fù)方案。

負(fù)責(zé)、可靠、快速響應(yīng)、以用戶為中心，是Rancher始終不變的初心；在每一次業(yè)界出現(xiàn)問題時，嚴(yán)謹(jǐn)踏實(shí)為用戶提供相應(yīng)的應(yīng)對之策，也是Rancher一如既往的行事之道。未來，Rancher也將一如既往支持與守護(hù)在用戶的K8S之路左右，確保大家安全、穩(wěn)妥、無虞地繼續(xù)前進(jìn)??