溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
今天,Kubernetes發布了一系列補丁版本,修復新近發現的兩個安全漏洞CVE-2019-1002101(kubectl cp命令安全漏洞)和CVE-2019-9946(CNI端口映射插件漏洞)。Rancher也緊急更新,發布一系列新版以支持Kubernetes補丁版本。
本文將介紹CVE-2019-1002101和CVE-2019-9946的詳情、原理、受影響版本及升級建議,以及Rancher提供給用戶的應對之策。
漏洞詳情及原理
CVE-2019-1002101是kubectl cp命令中存在的安全漏洞,嚴重等級為【高】,***者可以使用kubectl cp命令替換或刪除用戶工作站上的文件,在用戶計算機的任何路徑上寫入惡意文件。
kubectl cp命令允許在容器和用戶計算機之間復制文件。為了從容器中復制文件,Kubernetes會在容器內創建一個tar,通過網絡復制它,然后kubectl會在用戶的機器上解壓縮它。
而如果容器中的tar二進制文件是惡意的,它可以運行任何代碼并輸出意外的惡意結果。在用戶調用kubectl cp時,***者可以使用它將文件寫入用戶計算機上的任何路徑,只有本地用戶的系統權限有可能限制這一操作。
受影響的版本及升級建議
什么版本用戶會被此次漏洞影響?試著運行kubectl version—client進行查看,除了1.11.9、1.12.7、1.13.5、1.14.0或更新版本之外,其他均為易受***的版本。
所有使用易受***版本的用戶,都被建議升級至Kubernetes今天發布的補丁版本:1.11.9、1.12.7、1.13.5、1.14.0。
kubectl的安裝和設置方法,可以參照這一鏈接的說明教程:
https://kubernetes.io/docs/tasks/tools/install-kubectl/
漏洞詳情及原理
CVE-2019-9946是Kubernetes CNI框架中的安全漏洞,0.7.5之前版本的CNI插件端口映射和Kubernetes之間的交互中發現了安全問題,嚴重等級為【中等】。因為CNI 端口映射插件是嵌入到Kubernetes版本中的,只有升級至新版本的Kubernetes才能解決此問題。
在此修復之前,當我們配置HostPorts端口映射方式時CNI插件會在iptables nat鏈之前插入規則,這將優先于KUBE- SERVICES鏈。因此,傳入流量時,流量會優先經過HostPort的規則,即使之后在鏈中出現了更適合、更具體的服務定義規則(例如NodePorts),依然會由HostPort 的規則來匹配傳入的流量。
現在修復之后,將端口映射插件的規則由“最優先”變為“附加”,則可以讓流量優先由KUBE-SERVICES規則處理。只有當流量與服務不匹配時,才會考慮使用HostPorts。
受影響的版本及升級建議
因為這會影響插件界面,因此如果你不完全了解自己的Kubernetes配置,很難確定自己是否會受此漏洞影響。IPVS模式下的kube-proxy配置加上使用HostPort端口映射類型的pod,是肯定會被這一漏洞影響的。但同樣需要注意的是,其他網絡配置方式也有可能使用了CNI 的portmap端口映射插件。
運行kubectl version --short | grep Server,如果它顯示你使用的不是1.11.9、1.12.7、1.13.5和1.14.0或更新的版本,且如果你的Kubernetes與使用了端口映射插件的CNI配置配對,那么你極有可能會受這一漏洞影響。
但無需特別擔心的是,只需按照管理工具或供應商的說明,升級到最新補丁版本的Kubernetes(1.11.9、1.12.7、1.13.5和1.14.0)即可。
此次也一如既往,在Kubernetes自身爆出漏洞之后,Rancher Labs團隊都第一時間響應,保障使用Rancher平臺管理Kubernetes集群的用戶的安全。
如果你是使用Rancher平臺管理Kubernetes集群,不用擔心,Rancher已于今日發布了最新版本,支持包含漏洞修復的Kubernetes版本(1.11.9、1.12.7和1.13.5),保障所有Rancher用戶的Kubernetes集群不受此次漏洞困擾。
若您使用的版本可能受此次兩個漏洞影響,可以升級至今天發布的以下三個最新Rancher版本:
Rancher 2.2.1
Rancher 2.1.8
Rancher 2.0.13
對于Rancher 1.6.x的用戶,我們已在Rancher v1.6.26的Catalog(應用程序目錄)中添加了對Kubernetes v1.11.9和v1.12.7的支持。您可以升級至Rancher v1.6.26,新版本將在下一次目錄自動刷新時可用。
Rancher Kubernetes平臺擁有著超過一億次下載量,我們深知安全問題對于用戶而言的重要性,更遑論那些通過Rancher平臺在生產環境中運行Docker及Kubernetes的數千萬用戶。
2018年年底Kubernetes被爆出的首個嚴重安全漏洞CVE-2018-1002105,就是由Rancher Labs聯合創始人及首席架構師Darren Shepherd發現的。
2019年1月Kubernetes被爆出儀表盤和外部IP代理安全漏洞CVE-2018-18264時,Rancher Labs也是第一時間向用戶響應,確保所有Rancher 2.x和1.6.x的用戶都完全不被漏洞影響。
2019年2月爆出的嚴重的runc容器逃逸漏洞CVE-2019-5736,影響到大多數Docker與Kubernetes用戶,Rancher Kubernetes管理平臺和RancherOS操作系統均在不到一天時間內緊急更新,是業界第一個緊急發布新版本支持Docker補丁版本的平臺,還幫忙將修復程序反向移植到所有版本的Docker并提供給用戶,且提供了連Docker官方都不支持的針對Linux 3.x內核的修復方案。
負責、可靠、快速響應、以用戶為中心,是Rancher始終不變的初心;在每一次業界出現問題時,嚴謹踏實為用戶提供相應的應對之策,也是Rancher一如既往的行事之道。未來,Rancher也將一如既往支持與守護在用戶的Kubernetes之路左右,確保所有企業用戶都能安全、穩妥、無虞地繼續前進。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
