写点什么

才云容器云产品团队对 K8S 安全漏洞的声明

  • 2020-03-03
  • 本文字数:759 字

    阅读完需:约 2 分钟

才云容器云产品团队对 K8S 安全漏洞的声明


近日,Kubernetes 社区在高频讨论的 Kubernetes 严重安全漏洞,编号为 CVE-2018-1002105 [1](CVSS 评分 9.8 分),受该问题影响的 Kubernetes 版本范围包括:


  • Kubernetes v1.0.x-1.9.x

  • Kubernetes v1.10.0-1.10.10 (fixed in v1.10.11)

  • Kubernetes v1.11.0-1.11.4 (fixed in v1.11.5)

  • Kubernetes v1.12.0-1.12.2 (fixed in v1.12.3)


影响组件:Kubernetes apiserver


其原理是,在有漏洞的 Kubernetes 版本中,攻击者可以通过制造 HTTP Upgrade 失败请求,来获取到后端服务(kubelet,aggregated API server)的未关闭连接。连接一旦建立成功,攻击者可以以管理员权限,向后端服务发送任意请求。


Kubernetes 安全建议方案[1]:


  • 针对匿名用户通过一些安全设置限制提对应权限:

  • 暂停使用聚合的 API 服务器(影响使用聚合服务器 API 的用户);

  • 设置 --anonymous-auth = false 给 kube-apiserver 禁用匿名请求(可能会破坏 kube-apiserver 的负载均衡器或 kubelet 运行状况检查,并中断 kubeadm join 设置流程);

  • 删除对所有聚合 API 的所有匿名访问;

  • 对经过身份验证的用户删除对所有聚合 API 访问权限;

  • 非特权 kubelet API 用户中删除 pod exec/attach/ portforward 权限;

漏洞对 Caicloud Compass 产品的影响

此次 Kubernetes 漏洞事件对 Caicloud Compass 的企业客户不会构成影响和威胁,原因如下:


在 Caicloud Compass 产品中,所有对集群 Apiserver 的访问,都经由 Caicloud Compass 的 API gateway 进行访问。恶意用户无法直接利用这个漏洞发起对后端服务的攻击。


同时,才云在即将发行的 Caicloud Compass 2.7.3 版本会使用没有此安全漏洞的 Kubernetes 版本(1.12.3)。对于在生产环境中已经使用 Caicloud Compass 的客户,才云亦可协助升级。


本文转载自才云 Caicloud 公众号。


原文链接:https://mp.weixin.qq.com/s/7RSFYA_Sg8U-a25OJhfFy


2020-03-03 17:26572

评论

发布
暂无评论
发现更多内容

蓝易云 - 香港云主机的特点有哪些

百度搜索:蓝易云

运维 服务器 云主机 云服务器 香港云主机

迎接第500家伙伴

明道云

在 Go 中如何检查结构体是否为空

江湖十年

Go 后端 Go web 结构体 Go 面试题 面经 后端 大厂

航空电子制造业企业数字化转型:智能工厂建设

天津汇柏科技有限公司

数字化转型 智能工厂 航空航天 电子电器制造业

附PPT | 数造科技参与编制的《面向人工智能的数据治理实践指南(1.0)》正式发布!

数造万象

大数据 数据治理 DataOps #人工智能 技术指南

Apifox 更新|定时任务、内网自部署服务器运行接口定时导入、数据库 SSH 隧道连接

Apifox

程序员 前端 测试 后端 Apifox

蓝易云 - Ubuntu系统内核更新与卸载

百度搜索:蓝易云

云计算 Linux ubuntu 运维 云服务器

重磅!免费一键批量混剪工具它来了,一天上万短视频不是梦

程序那些事

工具 AIGC

DBA联创:区块链的架构正在不断趋同

TechubNews

校园圈子小程序,大学校园圈子,三端交付,源码交付,支持二开

DUOKE七七

小程序 开源 源码 交友

TDengine 签约昆船电子,助力某卷烟厂打叶复烤线技改

TDengine

数据库 tdengine 时序数据库

STC89C52+DS18B20实现环境温度检测(数码管显示温度)

DS小龙哥

6 月 优质更文活动

Mac数据库管理软件:Navicat Premium v17.0.1 中文激活版

你的猪会飞吗

Mac软件下载站 mac破解软件下载

【数据采集】亮数据浏览器、亮网络解锁器实战指南

阿Q说代码

数据采集 亮数据浏览器 亮网络解锁器

奇怪的缓存一致性问题

阿里技术

缓存 缓存一致性 故障排查 诊断 排查

华为云数据库斯享会上海站,NineData技术总监薛晓乐主题分享:DevOps最佳实践

NineData

数据库 DevOps 华为云 NineData 华为云数据库斯享会

培训心得 | 来自一线的声音,AntDB数据库ACP培训认证怎么样?

亚信AntDB数据库

AntDB 国产数据库 AntDB数据库 企业号 6 月 PK 榜

基于LangChain手工测试用例生成工具

测试人

软件测试

明道云和汉得信息联名发表《APaaS应用实施方法论(修订版)》

明道云

淘宝/天猫按图搜索商品新方法:taobao.item_search_img API返回值深度解读

技术冰糖葫芦

API Explorer API boy api 货币化 API 文档

才云容器云产品团队对 K8S 安全漏洞的声明_容器_才云科技_InfoQ精选文章