K8s爆嚴重安全漏洞？有何應對措施與建議

Kubernetes最近爆出嚴重安全漏洞，影響幾乎目前所有的版本。實際影響究竟多大？老版本用戶是否必須升級？以下是華為云容器服務團隊對該漏洞的分析解讀。

Kubernetes爆出的嚴重安全漏洞：

***者通過構造特殊請求，可以在一個普通權限的鏈接上提升權限，向被代理的后端服務器發送任意請求。

該問題影響了幾乎Kubernetes目前所有的版本，包括：

Kubernetes v1.0.x-1.9.x

Kubernetes v1.10.0-1.10.10 (fixed in v1.10.11)

Kubernetes v1.11.0-1.11.4 (fixed in v1.11.5)

Kubernetes v1.12.0-1.12.2 (fixed in v1.12.3)

什么樣的集群可能被***？

集群啟用了擴展API server，并且kube-apiserver與擴展API server的網絡直接連通；

集群對***者可見，即***者可以訪問到kube-apiserver的接口，如果你的集群是部署在安全的私網內，那么不會有影響；

集群開放了 pod exec/attach/portforward 接口，則***者可以利用該漏洞獲得所有的kubelet API訪問權限。

再看具體影響的場景

集群使用了聚合API，只要kube-apiserver與聚合API server的網絡直接連通，***者就可以利用這個漏洞向聚合API服務器發送任何API請求；

如果集群開啟了匿名用戶訪問的權限，則匿名用戶也利用這個漏洞。不幸的是K8s默認允許匿名訪問，即kube-apiserver的啟動參數”-- anonymous-auth=true”；

給予用戶Pod的exec/attach/portforward的權限，用戶也可以利用這個漏洞升級為集群管理員，可以對任意Pod做破壞操作；

該漏洞的更詳細討論，可見社區Issue：

https://github.com/kubernetes/kubernetes/issues/71411

應對措施與建議

綜合以上分析，使用華為云CCE服務的小伙伴們不必過于擔心，因為：

CCE服務創建的集群默認關閉匿名用戶訪問權限

CCE服務創建的集群沒有使用聚合API

如果，你開啟了RBAC權限，且給用戶分配了Pod的exec/attach/portforward權限，華為云CCE容器服務將于今晚完成所有現網1.11版本K8S集群的在線補丁修復，針對低于v1.10的集群（社區已不對其進行修復），本周我們也會提供補丁版本進行修復，請關注升級公告，及時修復漏洞。

Tips：如果你是自己搭建K8s集群，為提高集群的安全系數，建議如下，

一定要關閉匿名用戶訪問權限。

盡快升級到社區漏洞修復版本。合理配置RBAC，只給可信用戶Pod的

exec/attach/portforward權限.

如果你當前使用的K8s版本低于v1.10，不在官方補丁支持范圍內，建議自行回合補丁代碼 ：

https://github.com/kubernetes/kubernetes/pull/71412