1. 程式人生 > >關於Kubernetes CVE-2018-1002105 提權漏洞的修復公告

關於Kubernetes CVE-2018-1002105 提權漏洞的修復公告

近日Kubernetes社群發現安全漏洞 CVE-2018-1002105。通過偽造請求,Kubernetes使用者可以在已建立的API Server連線上提權訪問後端服務,阿里雲容器服務已第一時間修復,請登入阿里雲控制檯升級您的Kubernetes版本。

漏洞詳細介紹:https://github.com/kubernetes/kubernetes/issues/71411

影響版本:

  • Kubernetes v1.0.x-1.9.x
  • Kubernetes v1.10.0-1.10.10 (fixed in v1.10.11)
  • Kubernetes v1.11.0-1.11.4 (fixed in v1.11.5)
  • Kubernetes v1.12.0-1.12.2 (fixed in v1.12.3)

影響的配置:

  1. 叢集啟用了擴充套件API server,並且kube-apiserver與擴充套件API server的網路直接連通;
  2. 叢集開放了 pod exec/attach/portforward 介面,攻擊者可以利用該漏洞獲得所有的kubelet API訪問許可權。

阿里雲容器叢集配置

  1. 阿里雲容器叢集API Server預設開啟了RBAC,通過主賬號授權管理預設禁止了匿名使用者訪問。同時Kubelet 啟動引數為”anonymous-auth=false”,提供了安全訪問控制,防止外部入侵。
  2. 對於使用子賬號的多租戶ACK叢集使用者,子賬號訪問Kubernetes,其賬號可能通過Pod exec/attach/portforward越權。如果叢集只有管理員使用者,則無需過度擔心。
  3. 子賬號在不經過主賬號自定義授權的情況下預設不具有聚合API資源的訪問許可權。

解決方法:

對於容器服務ACK的使用者,請進入容器服務-Kubernetes控制檯,在叢集-叢集列表-叢集升級中,點選更新一鍵升級到安全版本的Kubernetes。

  • 1.11.2升級到1.11.5,
  • 1.10.4升級到1.10.11,
  • 1.9及以下的版本請先升級到1.10.11以上。(在1.9版本升級1.10版本時,如叢集使用了雲盤資料卷,需在控制檯首先升級flexvolume外掛)

注: 對於本次漏洞,因為Serverless Kubernetes在此之前已額外加固,使用者不受影響。