摘要:今天,發布了一系列補丁版本,修復新近發現的兩個安全漏洞命令安全漏洞和端口映射插件漏洞。因為端口映射插件是嵌入到版本中的,只有升級至新版本的才能解決此問題。現在修復之后,將端口映射插件的規則由最優先變為附加,則可以讓流量優先由規則處理。
今天,Kubernetes發布了一系列補丁版本,修復新近發現的兩個安全漏洞CVE-2019-1002101(kubectl cp命令安全漏洞)和CVE-2019-9946(CNI端口映射插件漏洞)。Rancher也緊急更新,發布一系列新版以支持Kubernetes補丁版本。
本文將介紹CVE-2019-1002101和CVE-2019-9946的詳情、原理、受影響版本及升級建議,以及Rancher提供給用戶的應對之策。
CVE-2019-1002101
漏洞詳情及原理
CVE-2019-1002101是kubectl cp命令中存在的安全漏洞,嚴重等級為【高】,攻擊者可以使用kubectl cp命令替換或刪除用戶工作站上的文件,在用戶計算機的任何路徑上寫入惡意文件。
kubectl cp命令允許在容器和用戶計算機之間復制文件。為了從容器中復制文件,Kubernetes會在容器內創建一個tar,通過網絡復制它,然后kubectl會在用戶的機器上解壓縮它。
而如果容器中的tar二進制文件是惡意的,它可以運行任何代碼并輸出意外的惡意結果。在用戶調用kubectl cp時,攻擊者可以使用它將文件寫入用戶計算機上的任何路徑,只有本地用戶的系統權限有可能限制這一操作。
受影響的版本及升級建議
什么版本用戶會被此次漏洞影響?試著運行kubectl version—client進行查看,除了1.11.9、1.12.7、1.13.5、1.14.0或更新版本之外,其他均為易受攻擊的版本。
所有使用易受攻擊版本的用戶,都被建議升級至Kubernetes今天發布的補丁版本:1.11.9、1.12.7、1.13.5、1.14.0。
kubectl的安裝和設置方法,可以參照這一鏈接的說明教程:
https://kubernetes.io/docs/ta...
CVE-2019-9946
漏洞詳情及原理
CVE-2019-9946是Kubernetes CNI框架中的安全漏洞,0.7.5之前版本的CNI插件端口映射和Kubernetes之間的交互中發現了安全問題,嚴重等級為【中等】。因為CNI 端口映射插件是嵌入到Kubernetes版本中的,只有升級至新版本的Kubernetes才能解決此問題。
在此修復之前,當我們配置HostPorts端口映射方式時CNI插件會在iptables nat鏈之前插入規則,這將優先于KUBE- SERVICES鏈。因此,傳入流量時,流量會優先經過HostPort的規則,即使之后在鏈中出現了更適合、更具體的服務定義規則(例如NodePorts),依然會由HostPort 的規則來匹配傳入的流量。
現在修復之后,將端口映射插件的規則由“最優先”變為“附加”,則可以讓流量優先由KUBE-SERVICES規則處理。只有當流量與服務不匹配時,才會考慮使用HostPorts。
受影響的版本及升級建議
因為這會影響插件界面,因此如果你不完全了解自己的Kubernetes配置,很難確定自己是否會受此漏洞影響。IPVS模式下的kube-proxy配置加上使用HostPort端口映射類型的pod,是肯定會被這一漏洞影響的。但同樣需要注意的是,其他網絡配置方式也有可能使用了CNI 的portmap端口映射插件。
運行kubectl version --short | grep Server,如果它顯示你使用的不是1.11.9、1.12.7、1.13.5和1.14.0或更新的版本,且如果你的Kubernetes與使用了端口映射插件的CNI配置配對,那么你極有可能會受這一漏洞影響。
但無需特別擔心的是,只需按照管理工具或供應商的說明,升級到最新補丁版本的Kubernetes(1.11.9、1.12.7、1.13.5和1.14.0)即可。
Rancher已發布最新版本應對此次漏洞
此次也一如既往,在Kubernetes自身爆出漏洞之后,Rancher Labs團隊都第一時間響應,保障使用Rancher平臺管理Kubernetes集群的用戶的安全。
如果你是使用Rancher平臺管理Kubernetes集群,不用擔心,Rancher已于今日發布了最新版本,支持包含漏洞修復的Kubernetes版本(1.11.9、1.12.7和1.13.5),保障所有Rancher用戶的Kubernetes集群不受此次漏洞困擾。
若您使用的版本可能受此次兩個漏洞影響,可以升級至今天發布的以下三個最新Rancher版本:
Rancher 2.2.1
Rancher 2.1.8
Rancher 2.0.13
對于Rancher 1.6.x的用戶,我們已在Rancher v1.6.26的Catalog(應用程序目錄)中添加了對Kubernetes v1.11.9和v1.12.7的支持。您可以升級至Rancher v1.6.26,新版本將在下一次目錄自動刷新時可用。
為用戶的Docker & K8S之旅護航
Rancher Kubernetes平臺擁有著超過一億次下載量,我們深知安全問題對于用戶而言的重要性,更遑論那些通過Rancher平臺在生產環境中運行Docker及Kubernetes的數千萬用戶。
2018年年底Kubernetes被爆出的首個嚴重安全漏洞CVE-2018-1002105,就是由Rancher Labs聯合創始人及首席架構師Darren Shepherd發現的。
2019年1月Kubernetes被爆出儀表盤和外部IP代理安全漏洞CVE-2018-18264時,Rancher Labs也是第一時間向用戶響應,確保所有Rancher 2.x和1.6.x的用戶都完全不被漏洞影響。
2019年2月爆出的嚴重的runc容器逃逸漏洞CVE-2019-5736,影響到大多數Docker與Kubernetes用戶,Rancher Kubernetes管理平臺和RancherOS操作系統均在不到一天時間內緊急更新,是業界第一個緊急發布新版本支持Docker補丁版本的平臺,還幫忙將修復程序反向移植到所有版本的Docker并提供給用戶,且提供了連Docker官方都不支持的針對Linux 3.x內核的修復方案。
負責、可靠、快速響應、以用戶為中心,是Rancher始終不變的初心;在每一次業界出現問題時,嚴謹踏實為用戶提供相應的應對之策,也是Rancher一如既往的行事之道。未來,Rancher也將一如既往支持與守護在用戶的Kubernetes之路左右,確保所有企業用戶都能安全、穩妥、無虞地繼續前進。
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/32967.html
摘要:漏洞披露后,在第一時間發布了,用戶可升級到此版本以修復該漏洞。年年底被爆出的首個嚴重安全漏洞,就是由聯合創始人及首席架構師發現的。年月被爆出儀表盤和外部代理安全漏洞時,也是第一時間向用戶響應,確保所有和的用戶都完全不被漏洞影響。 runC是一個根據OCI(Open Container Initiative)標準創建并運行容器的CLI工具,目前Docker引擎內部也是基于runc構建的。...
摘要:首爆嚴重安全漏洞,嚴重性分于昨晚爆出嚴重安全漏洞,該漏洞由聯合創始人及首席架構師發現。其他功能更新對第三方設備監控插件的支持該功能目前被引入為功能。拓撲感知卷調度該功能現成為狀態。 K8S首爆嚴重安全漏洞,嚴重性9.8分 Kubernetes于昨晚爆出嚴重安全漏洞,該漏洞由Rancher Labs聯合創始人及首席架構師Darren Shepherd發現。該漏洞CVE-2018-1002...
摘要:爆出中等嚴重性安全漏洞拒絕服務漏洞。本文將進行漏洞解讀和情景再現,并分享漏洞修復方案,用戶來看應對之策了漏洞美國當地時間年月日,社區發布了拒絕服務的漏洞,即有寫入權限的用戶在寫入資源時會導致過度消耗資源,此漏洞被評級為中等嚴重性。 Kubernetes爆出中等嚴重性安全漏洞——Kubernetes API Server拒絕服務漏洞CVE-2019-1002100。 本文將進行漏洞解讀和...
摘要:此次新版的最重大更新無疑為對節點的生產級支持。持久化本地存儲的最主要用例是分布式文件系統和數據庫,主要是由于性能和成本的原因。在裸機上,除了性能之外,本地存儲通常也更便宜,并且使用它是配置分布式文件系統的必要條件。 Kubernetes 1.14現已正式發布,這是Kubernetes在2019年的首次更新! Kubernetes 1.14由31個增強功能組成:10個功能現進入Stabl...
摘要:近期,儀表盤和外部代理接連被發現存在安全問題。本文將更深入解讀這兩個安全漏洞的原理會對您的部署造成的影響以及相應的應對之策。在中,儀表盤作為每個集群環境的一部分包含在內但是,部署不受影響,因為充當了儀表盤的身份驗證授權和代理。 近期,Kubernetes儀表盤和外部IP代理接連被發現存在安全問題。針對這兩個漏洞,Kubernetes發布了相應的補丁版本供會受漏洞影響的用戶解決問題。本文...
閱讀 917·2021-10-18 13:32
閱讀 3511·2021-09-30 09:47
閱讀 2155·2021-09-23 11:21
閱讀 1878·2021-09-09 09:34
閱讀 3479·2019-08-30 15:43
閱讀 1521·2019-08-30 11:07
閱讀 1061·2019-08-29 16:14
閱讀 724·2019-08-29 11:06