自2014年开源以来，Kubernetes迅速崛起，受到了众多厂商和开发者们的热烈追捧。发展5年时间，Kubernetes已经成为了容器管理领域的实施标准。然而，随着Kubernetes的发展，它的漏洞与变化亦随之成为了广大厂商和开发者们最为关心的问题。

在本文当中，我们将带您重点回顾2019年Kubernetes的CVE漏洞和变化，并关注这些漏洞和变化是如何影响2019年的Kubernetes。最后，我们将重点讲述，针对这些漏洞和变化，Rancher如何应对，我们又为广大厂商和开发者们保驾护航做了哪些改变？

Kubernetes安全成头等大事

Rancher全球第一时间响应

纵观2019年，CNCF中的解决方案都将安全放在了首要位置，并根据安全策略来制定产品战略和设计。2019年8月，Kubernetes发布了安全性审查的初步结果（https://www.cncf.io/blog/2019/08/06/open-sourcing-the-kubernetes-security-audit/），并提出在项目中推进安全性的计划。

2019年1月7日

CVE-2018-18264（Kubernetes仪表盘漏洞）

Kubernetes仪表盘和外部IP代理漏洞及应对之策

漏洞详情：

用户可以“跳过”登录过程，使用配置的服务帐户，最后获得仪表盘所使用的自定义TLS证书。

Rancher第一时间响应：

Rancher第一时间向用户响应。Rancher 1.6.x不受此漏洞影响，在Rancher 2.x中，默认情况下不会启动仪表盘。如果更改了默认设置，则参考Kubernetes官方提供的指南修复漏洞。

Kubernetes API服务器外部IP地址代理漏洞

漏洞详情：

Kubernetes API服务器使用节点、node或服务代理API，将请求代理到pod或节点。通过直接修改podIP或nodeIP，可以将代理请求定向到任何IP。API服务器总是被部署在某网络中的，利用这个漏洞就访问该网络中的任何可用IP了。

Rancher第一时间响应：

Rancher第一时间向用户响应。Rancher 1.6.x不受这一漏洞影响。对于Rancher 2.x的用户可以在Rancher v2.1.5和v2.0.10中使用已经修复了该漏洞的Kubernetes版本（v1.10.12、v1.11.6和v1.12.4）。

2019年2月11日

runc容器逃逸漏洞

新近爆出的runc容器逃逸漏洞，用户如何面对？

runc容器逃逸漏洞最强后续：应对之策汇总与热点疑问解答

漏洞详情：

该漏洞允许以root身份运行的容器以特权用户身份在主机上执行任意代码。这一安全漏洞影响了几乎所有Docker和Kubernetes用户。

Rancher第一时间响应：

Rancher 5小时快速响应，邮件提醒所有用户漏洞详情及补丁与升级方法。此外，Rancher立即更新 v2.1.6、v2.0.11和v1.6.26三个版本以支持Docker 修复漏洞的18.09.2新版本，并将修复程序反向移植到所有版本的Docker并提供给用户，供不能升级Docker的用户修复此漏洞问题。

2019年3月2日

CVE-2019-1002100

K8S新安全漏洞的应对之策：API Server拒绝服务漏洞

漏洞详情：

该漏洞使得有API写入权限的用户在写入资源时导致Kubernetes API server过度消耗资源。

Rancher第一时间响应：

Rancher发布v2.1.7、v2.0.12两个版本，支持Kubernetes已修复漏洞的新版本（v1.11.8、v1.12.6、v1.13.4）。对于Rancher 1.6.x的用户，可以在Rancher v1.6.26的Catalog中使用Kubernetes发布的修复版本 v1.11.8和v1.12.6

2019年3月29日

Kubernetes新近kubectl及CNI漏洞修复，Rancher 2.2.1发布

CVE-2019-1002101

漏洞详情：

这是kubectl cp命令中存在的安全漏洞，严重等级为【高】。攻击者可以使用kubectl cp命令替换或删除用户工作站上的文件，在用户计算机的任何路径上写入恶意文件。

CVE-2019-9946

漏洞详情：

这是Kubernetes CNI框架中的安全漏洞，严重等级为【中等】。这一漏洞使得我们配置HostPorts端口映射方式时CNI插件会在iptables nat链之前插入规则，这将优先于KUBE- SERVICES链。因此，传入流量时，流量会优先经过HostPort的规则，即使之后在链中出现了更适合、更具体的服务定义规则（例如NodePorts），依然会由HostPort 的规则来匹配传入的流量。

Rancher第一时间响应：

Rancher在当天紧急更新，发布了Rancher v2.2.1、v2.1.8以及v2.0.13这三个新版本，支持Kubernetes已经修复本次漏洞的版本（1.11.9、1.12.7和1.13.5）。对于Rancher 1.6.x的用户，已在Rancher v1.6.26的Catalog（应用程序目录）中添加了对Kubernetes v1.11.9和v1.12.7的支持。

2019年4月19日

CVE-2019-11202

Rancher 2.2.2 Stable版本发布，生产可用！

漏洞详情：

Rancher首次启动时创建的默认管理员帐户将在Rancher的后续重新启动时重新创建，即使Rancher管理员明确删除了该帐户，也仍会如此。攻击者可以使用这些默认账号密码来获取对Rancher Server的管理员访问权限。

Rancher第一时间响应：

发布Rancher 2.2.2，在其中提供这一漏洞的修复程序。在Rancher 2.1.x和Rancher2.0.x中也包含了修复程序。此外，对于所有的Rancher版本，只要通过禁用默认管理员帐户而不是完全删除它，就可以不受此漏洞影响。

2019年6月6日

CVE-2019-12303

Rancher 2.2.4发布，CVE修复，项目监控回归！

漏洞详情：

CVE-2019-12303漏洞中项目管理员可以在对接日志系统时，通过注入额外的Fluentd配置参数，来读取到Fluentd容器内的文件或执行任意命令，例如其他项目管理员配置的ElasticSearch。

CVE-2019-12274

漏洞详情：

CVE-2019-12303漏洞中某些内嵌的主机驱动可以配置一个文件路径的参数。通过主机驱动创建主机时，创建者可以通过该漏洞获取Rancher Server内任意容器的内容，例如 /root/.kube/config。这样，主机创建者可以获取Rancher管理平面的访问权限。

Rancher第一时间响应：

立刻发布Rancher 2.2.4修复以上两个安全漏洞。

2019年7月16日

CVE-2019-13209

Rancher 2.2.5发布，CVE修复，支持K8S 1.15

漏洞详情：

该漏洞称为“跨站点Websocket劫持攻击”。攻击者可以通过被攻击者的角色/权限来访问由Rancher管理的集群。它要求被攻击者登录到Rancher服务器，然后访问由开发者托管的第三方站点。一旦完成，开发人员就能够利用被攻击者的权限和身份对Kubernetes API执行命令。

Rancher第一时间响应：

Rancher立刻更新，发布了v2.2.5版本修复该漏洞，同时还发布了Rancher v2.1.11和v2.0.16，这两个版本也提供了此漏洞的修复程序，可供尚未升级至Rancher 2.2.x的用户使用。

2019年8月6日

CVE-2019-11247和CVE-2019-11249

Rancher 2.2.7发布！修复CVE，支持Kubernetes新版本！

漏洞详情：

CVE-2019-11247漏洞会导致API Server允许通过错误的范围访问自定义资源。

CVE-2019-11249漏洞会导致恶意容器在客户端使用kubectl cp操作时将有权限在客户端计算机上创建或替换文件。

Rancher第一时间响应：

8月7日，Rancher发布了最新版本Rancher 2.2.7，支持Kubernetes最新发布的补丁版本（v1.13.9、v1.14.5、v1.15.2）。此外，还发布了Rancher v2.1.12，可供尚未升级至Rancher 2.2.x的用户使用。

2019年8月20日

CVE-2019-9512 和CVE-2019-9514

Rancher 2.2.8发布，支持K8S新CVE的补丁版本！

漏洞详情：

Go语言由于受到CVE-2019-9512 和CVE-2019-9514漏洞影响，因此Kubernetes的所有版本和所有组件都受到该漏洞影响。此外，受到影响的还有HTTP/2流量（including/healthz）。这两个漏洞还允许不受信任的客户端分配无限量的内存，直到服务器崩溃。

Rancher第一时间响应：

8月21日凌晨，Rancher紧急发布了2.2.8版本，支持Kubernetes新的补丁版本（v1.13.10、v1.14.6、v1.15.3）。同时，Rancher Labs官方还发布了v2.1.13，可供尚未升级至Rancher 2.2.x的用户使用。

2019年10月17日

全球第一时间响应：Rancher发布2.3.1，支持K8S CVE修复版本

CVE-2019-11253

漏洞详情：

CVE-2019-11253是kube-apiserver中的一个拒绝服务漏洞，它允许授权用户发送恶意的YAML或JSON有效负载，然后导致kube-apiserver消耗过多的CPU或内存，从而可能崩溃并变得不可用。

CVE-2019-16276

漏洞详情：

CVE-2019-16276这一漏洞在Go的net/ http库中CVE-2019-16276会导致无效的请求头被HTTP服务器规范化并解释为有效。如果Go HTTP服务器前的反向代理允许并转发某无效的请求头，但又不对其进行规范化，则Go服务器对这些请求头的解释可能与反向代理不同。

Rancher第一时间响应：

Rancher全球第一时间响应 ，在当天紧急发布了新的版本Rancher 2.3.1和Rancher 2.2.9以支持Kubernetes补丁版本（v1.13.12、v1.14.8、v1.15.5）。Rancher 2.3.1还添加了对Kubernetes 1.16.2的实验性支持。

Rancher安全体系全新升级

为您的安全保驾护航

为了让Rancher的用户能够轻松提升安全意识，我们对安全问题的解决程序进行了全面改革。我们实施了新程序，以确保我们可以将问题及其解决方案引起用户注意，同时避免用户因此遭受损失。具体来说，这一新程序使得我们能够快速发布Rancher和Kubernetes的安全更新，并在必要时为用户提供Rancher工程师的额外支持。

除此之外，我们还 发布了CIS自我评估、强化指南，并聘请第三方公司对Rancher产品进行渗透测试 。因此，我们整套事件管理流程比以往更高效，并且我们在产品里添加了一些功能，这些功能使用户可以更轻松地保证Kubernetes环境的安全。

安全审核是由两家独立的公司进行的，他们对Rancher平台进行了白盒渗透测试。名为Cure53的公司进行对Rancher平台了最新测试，这家公司曾为CNCF执行Prometheus和CoreDNS的安全审核。另外，我们还聘请了Untamed Theory，它对平台进行了测试并指出可以改进的地方。我们的研发部门结合两组报告修复和验证所有问题。现在，这些报告已经公开（https://rancher.com/docs/rancher/v2.x/en/security/#third-party-pen-test-reports）。后续，我们将继续监控并改进流程，最大程度地提高平台安全性。

在过去一年中，我们在Rancher和RKE中添加了一些功能，这些功能让Kubernetes集群变得更加坚不可摧。

例如，RKE现在可以：

直接启用加密程序
配置审核日志以及速率限制
通过集群模板轻松部署安全配置的集群

从Rancher 2.3开始，管理员可以直接升级新版本的Kubernetes而无需先升级Rancher。这一特性将Rancher发布周期与Kubernetes发布周期解耦，这体现了我们确保Rancher用户安全的承诺。

我们保障用户安全的工作会在持续改进中前行，而我们计划在2020年第二季度初发布Rancher 2.4版本。在新版本中，您可以看到令人惊喜的新特性—— 集群将在产品的核心中嵌入CIS扫描 ，进而确保安全性和运维团队对Kubernetes进行企业部署所需的可观察性。

如果你想要了解更多有关Kubernetes和Rancher中安全性的信息，或者要查看已经修复的CVE或下载Rancher强化指南，欢迎查看Rancher文档中的安全性部分：

https://rancher.com/docs/rancher/v2.x/en/security/

回首2019，对于Kubernetes来说这是极具挑战的一年，在这一年里安全成为了Kubernetes的头等大事。随着Kubernetes在企业中的关注度日益增加，集群管理员必须了解如何部署以及保证Kubernetes及其工作负载的安全。

Rancher作为全球用户量最大的企业级Kubernetes管理平台，本着对用户负责的态度，在与众多厂商和开发者们息息相关的Kubernetes漏洞及变化问题上毫不懈怠，永恒站在修复与安全的第一线，为众多厂商和开发者们的Kubernetes旅途保驾护航。

未来，Rancher也将一如既往支持与守护在用户的K8S之路左右，确保大家安全、稳妥、无虞地继续前进。

创作场景

K8S 安全成头等大事，2019 年 K8S 漏洞盘点与解读