Rancher中如何支持K8S CVE修復版本

今天就跟大家聊聊有關Rancher中如何支持K8S CVE修復版本，可能很多人都不太了解，為了讓大家更加了解，小編給大家總結了以下內容，希望大家根據這篇文章可以有所收獲。

北京時間2019年10月17日，Kubernetes發布了新的補丁版本，修復了新近發現的兩個安全漏洞：CVE-2019-11253和CVE-2019-16276。Rancher第一時間響應，就在當天緊隨其后發布了Rancher v2.3.1和Rancher v2.2.9。更新的版本中不僅支持Kubernetes新的補丁版本，還修復了一些原有的bug并對部分功能進行了優化。

目前，Rancher的Latest和Stable版本信息如下：

Kubernetes CVE漏洞詳情

CVE-2019-11253：

• CVE-2019-11253是kube-apiserver中的一個拒絕服務漏洞，它允許授權用戶發送惡意的YAML或JSON有效負載，然后導致kube-apiserver消耗過多的CPU或內存，從而可能崩潰并變得不可用。

CVE-2019-16276：

• 在Go的net/ http庫中CVE-2019-16276會導致無效的請求頭被HTTP服務器規范化并解釋為有效。如果Go HTTP服務器前的反向代理允許并轉發某無效的請求頭，但又不對其進行規范化，則Go服務器對這些請求頭的解釋可能與反向代理不同。

Kubernetes發布了下述這些新版本，解決上述安全漏洞：

• v1.13.12

• v1.14.8

• v1.15.5

• v1.16.2

為了您的集群安全，強烈建議您將Kubernetes集群都升級至最新發布的修復版本。

Rancher第一時間有效應對

Rancher第一時間對漏洞做出響應，發布了新的版本Rancher 2.3.1和Rancher 2.2.9以支持上述Kubernetes補丁版本。Rancher 2.2.9支持Kubernetes v1.13.12、v1.14.8和v1.15.5（默認），Rancher v2.3.1在此基礎上還添加了對Kubernetes v1.16.2的實驗性支持。

請注意：

Rancher 1.6.x用戶不受Kubernetes的這兩個安全漏洞影響，因為Rancher 1.6.x自身不支持這兩個漏洞所影響的Kubernetes版本。

關于Rancher 2.0.x的用戶：

正如Rancher服務條款頁面所示，Rancher 2.0.x目前處于其產品生命周期的EOM到EOL支持階段。因此，Rancher官方沒有計劃發布v2.0.x補丁版本來修復這兩個漏洞。對于Rancher的企業級訂閱客戶，如果您有特殊情況，需要在v2.0.x版本中修復這兩個漏洞，請聯系Rancher的技術支持團隊。或者，請在v2.0.x 的EOL日期（2019年11月1日）之前，將您的Rancher升級到最新版本。

關于Rancher 2.1.x的用戶：

• Rancher v2.1.x僅支持Kubernetes v1.13.x

• 正如Rancher服務條款頁面所示，Rancher v2.1.x目前處于其產品生命周期的EOM到EOL支持階段。因此，Rancher官方沒有計劃發布v2.1.x補丁版本來修復這兩個漏洞。對于Rancher的企業級訂閱客戶，如果您有特殊情況，需要在v2.1.x版本中修復這兩個漏洞，請聯系Rancher的技術支持團隊。

Rancher 2.3.1修復的bug

• 修復了由于引用v1 API [#23365] 而無法使用LetsEncrypt證書安裝單節點的問題；

• 修復了守護腳本無法完成超時原因并允許超時可配置的問題[ #22379，#23160 ]；

• 修復了在模板創建和模板顯示期間未正確處理Kubernetes版本的RKE模板的問題。[#23360，#23359，#23361]

• 修復了RKE模板無法為某些Kubernetes版本啟用Windows支持的問題[#23395]

• 修復了嘗試將群集更新到新的RKE模板修訂版不起作用的問題[#23383]

• 修復了在升級后無法將捆綁的系統圖表與單個節點容器或綁定安裝一起使用的問題[#23427]

• Rancher和RKE使用的yaml庫升級到包含CVE-2019-11253修復程序的 v2.2.4版本

如果您想了解與上述issue相關的詳細信息，請至Rancher Github issue界面輸入issue編號進行查詢：

看完上述內容，你們對Rancher中如何支持K8S CVE修復版本有進一步的了解嗎？如果還想了解更多知識或者相關內容，請關注億速云行業資訊頻道，感謝大家的支持。