HarmonyOS开发者限时福利来啦!最高10w+现金激励等你拿~ 了解详情
写点什么

才云容器云产品团队对 K8S 安全漏洞的声明

  • 2020-03-03
  • 本文字数:759 字

    阅读完需:约 2 分钟

才云容器云产品团队对 K8S 安全漏洞的声明


近日,Kubernetes 社区在高频讨论的 Kubernetes 严重安全漏洞,编号为 CVE-2018-1002105 [1](CVSS 评分 9.8 分),受该问题影响的 Kubernetes 版本范围包括:


  • Kubernetes v1.0.x-1.9.x

  • Kubernetes v1.10.0-1.10.10 (fixed in v1.10.11)

  • Kubernetes v1.11.0-1.11.4 (fixed in v1.11.5)

  • Kubernetes v1.12.0-1.12.2 (fixed in v1.12.3)


影响组件:Kubernetes apiserver


其原理是,在有漏洞的 Kubernetes 版本中,攻击者可以通过制造 HTTP Upgrade 失败请求,来获取到后端服务(kubelet,aggregated API server)的未关闭连接。连接一旦建立成功,攻击者可以以管理员权限,向后端服务发送任意请求。


Kubernetes 安全建议方案[1]:


  • 针对匿名用户通过一些安全设置限制提对应权限:

  • 暂停使用聚合的 API 服务器(影响使用聚合服务器 API 的用户);

  • 设置 --anonymous-auth = false 给 kube-apiserver 禁用匿名请求(可能会破坏 kube-apiserver 的负载均衡器或 kubelet 运行状况检查,并中断 kubeadm join 设置流程);

  • 删除对所有聚合 API 的所有匿名访问;

  • 对经过身份验证的用户删除对所有聚合 API 访问权限;

  • 非特权 kubelet API 用户中删除 pod exec/attach/ portforward 权限;

漏洞对 Caicloud Compass 产品的影响

此次 Kubernetes 漏洞事件对 Caicloud Compass 的企业客户不会构成影响和威胁,原因如下:


在 Caicloud Compass 产品中,所有对集群 Apiserver 的访问,都经由 Caicloud Compass 的 API gateway 进行访问。恶意用户无法直接利用这个漏洞发起对后端服务的攻击。


同时,才云在即将发行的 Caicloud Compass 2.7.3 版本会使用没有此安全漏洞的 Kubernetes 版本(1.12.3)。对于在生产环境中已经使用 Caicloud Compass 的客户,才云亦可协助升级。


本文转载自才云 Caicloud 公众号。


原文链接:https://mp.weixin.qq.com/s/7RSFYA_Sg8U-a25OJhfFy


2020-03-03 17:26587

评论

发布
暂无评论
发现更多内容

DeFi智能合约DAPP系统开发公司(现成)

2021年Android大厂面试分享,实战篇

android 程序员 移动开发

2021年Android春招面试经历,阿里秋招面试真题解析

android 程序员 移动开发

2021年大厂程序员进阶宝典,flutter面试题

android 程序员 移动开发

Prometheus 内置函数(一)

耳东@Erdong

Prometheus 10月月更

你真的会 Prometheus 查询吗?--PromQL 合集

耳东@Erdong

Prometheus PromQL 10月月更

全球6G专利独占4成,中国能否借此“制霸”元宇宙?

海比研究院

阿里云边缘云ENS再升级 产业数字化落地向何方?

阿里云Edge Plus

2021年大厂程序员进阶宝典,Android开发基础面试题

android 程序员 移动开发

Vue进阶(幺肆伍):Vue-elementUI实现操作栏位更多效果

No Silver Bullet

Vue 10月月更

解密诡异并发问题的幕后黑手:可见性问题

华为云开发者联盟

并发编程 线程 并发 可见性 单核CPU

2020-2021蚂蚁金服Android面试真题解析,使用指南

android 程序员 移动开发

Go 中如何使用结构体标签

baiyutang

golang 10月月更

谈 C++17 里的 Chain of Responsibility 模式

hedzr

设计模式 Design Patterns 职责链模式 c++17 消息分发

第 22 章 -《Linux 一学就会》- 跳出循环-shift参数左移-函数的使用

学神来啦

Linux linux运维 linux云计算 linux一学就会

2021年Android程序员职业规划,Android开发技巧

android 程序员 移动开发

2021年Android高级面试题,成功入职字节跳动

android 程序员 移动开发

在 pygame 中好好玩玩精灵,滚雪球学 Python 游戏番

梦想橡皮擦

10月月更

Groovy动态添加方法和属性及Spock单测

FunTester

Java 动态 spock Groovy FunTester

Python代码阅读(第43篇):构造组合函数

Felix

Python 编程 Code Programing 阅读代码

Vue进阶(幺肆肆):(window,parent,opener,top).location.reload方法分析

No Silver Bullet

Vue 页面刷新 10月月更

看了CopyOnWriteArrayList后自己实现了一个CopyOnWriteHashMap

root

Java 程序员 CopyOnWrite;

架构实战营-模块一

瓜子葫芦侠

「架构实战营」

Zookeeper 客户端错误:Packet len8854970 is out of range!

看山

zookeeper 10月月更

2021年大厂程序员进阶宝典,真是经典中的经典

android 程序员 移动开发

在线字符串长度计算,字符串统计工具

入门小站

工具

Apache APISIX 助力有赞云原生 PaaS 平台,实现全面微服务治理

API7.ai 技术团队

云原生 PaaS API网关 Apache APISIX

Defi挖矿系统开发简介(现成案例)

linux之xargs使用技巧

入门小站

Linux

2021年GitHub上那些优秀Android开源库总结,花2万块买的教程

android 程序员 移动开发

2021年字节跳动+京东+美团面试总结,查漏补缺

android 程序员 移动开发

才云容器云产品团队对 K8S 安全漏洞的声明_容器_才云科技_InfoQ精选文章