Kubernetes的第一个主要安全漏洞被发现

2018-12-04 09:49:51爱云资讯初云阅读量:811

到目前为止,Kubernetes已经成为最受欢迎的云容器编排系统,所以它的第一个主要安全漏洞被发现只是时间问题。而错误,CVE-2018-1002105,又名Kubernetes特权升级漏洞,是一个愚蠢的。这是一个CVSS 9.8关键安全漏洞。

通过特制的网络请求,任何用户都可以通过Kubernetes应用程序编程接口(API)服务器与后端服务器建立连接。一旦建立,攻击者就可以通过网络连接直接向该后端发送任意请求。通过Kubernetes API服务器的传输层安全性(TLS)凭证对这些请求进行身份验证。



你能说root吗?我知道你可以。

更糟糕的是,“在默认配置中,允许所有用户(经过身份验证和未经身份验证的用户)执行允许此升级的发现API调用。”所以,是的,任何了解这个洞的人都可以掌控你的Kubernetes集群。

哦,最后的痛苦之处:“没有简单的方法来检测是否已使用此漏洞。由于未经授权的请求是通过已建立的连接进行的,因此它们不会出现在Kubernetes API服务器审核日志或服务器日志中请求确实出现在kubelet或聚合的API服务器日志中,但是通过Kubernetes API服务器与正确授权和代理的请求无法区分。“

换句话说,Red Hat说:“权限升级漏洞使得任何用户都可以在Kubernetes pod中运行的任何计算节点上获得完全管理员权限。这是一个大问题。这个演员不仅可以窃取敏感数据或注入恶意代码,但它们也可以从组织的防火墙内删除生产应用程序和服务。“

幸运的是,有一个修复,但你们中的一些人不会喜欢它。你必须升级Kubernetes。现在。具体来说,有Kubernetes v1.10.11,v1.11.5,v1.12.3和v1.13.0-rc.1的修补版本。

如果您仍在使用Kubernetes v1.0.x-1.9.x,请停止。更新到修补版本。如果由于某种原因你不能向上移动,有治疗方法,但它们几乎比疾病更糟糕。您必须暂停使用聚合的API服务器,并从不应具有对kubelet API的完全访问权限的用户中删除pod exec / attach / portforward权限。修复该漏洞的Google软件工程师Jordan Liggitt表示,这些缓解措施可能具有破坏性。您认为?

唯一真正的解决方法是升级Kubernetes。


任何包含Kubernetes的程序都很容易受到攻击。 Kubernetes分销商已经发布修复程序。

Red Hat报告其所有“基于Kubernetes的服务和产品 - 包括Red Hat OpenShift容器平台,Red Hat OpenShift Online和Red Hat OpenShift Dedicated - 都受到影响。”红帽已经开始向受影响的用户提供补丁和服务更新。

据有人所知,没有人使用安全漏洞攻击任何人。 Rancher Labs的首席架构师兼联合创始人Darren Shepard发现了该漏洞并使用Kubernetes漏洞报告流程进行了报告。

但是 - 这是一个很大的但是 - 滥用漏洞会在日志中留下明显的痕迹。而且,既然有关Kubernetes特权升级漏洞的消息已经消失,那么它被滥用只是时间问题。

因此,在您的公司陷入困境之前,再次感受并升级您的Kubernetes系统。

相关文章

人工智能技术

更多>>

人工智能公司

更多>>

人工智能硬件

更多>>

人工智能产业

更多>>
关于我们|联系我们|免责声明|会展频道

冀ICP备2022007386号-1 冀公网安备 13108202000871号

爱云资讯 Copyright©2018-2024