都2023了!我不允许你还不了解AIGC!立即报名 了解详情
写点什么

K8S 新安全漏洞的应对之策:API Server 拒绝服务漏洞

  • 2020-04-23
  • 本文字数:1654 字

    阅读完需:约 5 分钟

K8S新安全漏洞的应对之策:API Server拒绝服务漏洞

CVE-2019-1002100 漏洞

美国当地时间 2019 年 3 月 2 日,Kubernetes 社区发布了 Kubernetes API server 拒绝服务的漏洞(CVE-2019-1002100),即有 API 写入权限的用户在写入资源时会导致 Kubernetes API server 过度消耗资源,此漏洞被评级为【中等严重性】。


此漏洞表现为用户在向 Kubernetes API server 发送 json-patch 规则的补丁包来更新资源对象时(例如 kubectl patch xxx --type json 或者“Content-Type: application/json-patch+json”),Kubernetes API server 会消耗极大的资源,最终导致 API server 拒绝连接。


https://github.com/kubernetes/kubernetes/issues/74534

情景再现

一个 json-patch 的例子:


kubectl patch deployment test --type='json' -p '[{"op": "add", "path": "/metadata/labels/test", "value": "test"},{"op": "add", "path": "/metadata/labels/app", "value": "test"} ,{…} ]'
复制代码


当我们向 Kubernetes 频繁地发送多个 json-patch 请求来更新资源对象时,可以发现 Kubernetes API server 会消耗很多资源来处理我们的请求。



此时会有一部分资源的 patch 请求失败,无法得到 Kubernetes API server 的响应。



受此漏洞影响的 Kubernetes API server 的版本包括:


  • v1.0.0 – 1.10.x

  • v1.11.0 – 1.11.7

  • v1.12.0 – 1.12.5

  • v1.13.0 – 1.13.3


Kubernetes 官方建议用户在升级至修复版本之前,可针对此漏洞的采取的缓解措施为:


  • 对不受信任用户移除 patch 权限

漏洞修复

Kubernetes 社区很快地修复了此漏洞,增加了对用户 json-patch 操作数量的限制。


当用户对某一资源对象修改的 json-patch 内容超过 10000 个操作时,Kubernetes API server 会返回 413(RequestEntityTooLarge)的错误。


错误信息如下:


Request entity too large: The allowed maximum operations in a JSON patch is 10000, got 10004
复制代码


修复的 Kubernetes 版本包括:


  • v1.11.8

  • v1.12.6

  • v1.13.4

Rancher 已发布最新版本应对此次漏洞

此次也一如既往,在 Kubernetes 自身爆出漏洞之后,Rancher Labs 团队都第一时间响应,保障使用 Rancher 平台管理 Kubernetes 集群的用户的安全。


如果你是使用 Rancher 平台管理 Kubernetes 集群,不用担心,Rancher 已于今日发布了最新版本,支持包含漏洞修复的 Kubernetes 版本,保障所有 Rancher 用户的 Kubernetes 集群不受此次漏洞困扰。


最新发布的 Rancher 版本为:


  • v2.1.7(提供 Kubernetes v1.11.8, v1.12.6, v1.13.4 支持)

  • v2.0.12(提供 Kubernetes v1.11.8 支持)

  • 对于 Rancher 1.6.x 的用户,可以在 Rancher v1.6.26 的 Catalog 中使用 Kubernetes 发布的修复版本 v1.11.8 和 v1.12.6


此次漏洞会影响的 Kubernetes 版本范围较广,建议中招的用户尽快升级哟!

为用户的 Docker & K8S 之旅护航

Rancher Kubernetes 平台拥有着超过一亿次下载量,我们深知 安全问题 对于用户而言的重要性,更遑论那些通过 Rancher 平台在 生产环境 中运行 Docker 及 Kubernetes 的 数千万用户。


2018 年年底 Kubernetes 被爆出的首个严重安全漏洞CVE-2018-1002105,就是由 Rancher Labs 联合创始人及首席架构师 Darren Shepherd 发现的。


2019 年 1 月 Kubernetes 被爆出仪表盘和外部IP代理安全漏洞CVE-2018-18264时,Rancher Labs 也是第一时间向用户响应,确保所有 Rancher 2.x 和 1.6.x 的用户都完全不被漏洞影响。


2019 年 2 月爆出的严重的runc容器逃逸漏洞CVE-2019-5736,影响到大多数 Docker 与 Kubernetes 用户,Rancher Kubernetes 管理平台和 RancherOS 操作系统均在不到一天时间内紧急更新,是业界第一个紧急发布新版本支持 Docker 补丁版本的平台,还帮忙将修复程序反向移植到所有版本的 Docker 并提供给用户,且提供了连 Docker 官方都不支持的针对 Linux 3.x 内核的修复方案。


负责、可靠、快速响应、以用户为中心,是 Rancher 始终不变的初心;在每一次业界出现问题时,严谨踏实为用户提供相应的应对之策,也是 Rancher 一如既往的行事之道。未来,Rancher 也将一如既往支持与守护在用户的 K8S 之路左右,确保大家安全、稳妥、无虞地继续前进❤️


2020-04-23 17:23411

评论

发布
暂无评论
发现更多内容

8万字208道Java经典面试题总结(附答案)

Geek_0c76c3

Java 数据库 开源 程序员 开发

软件测试 | 测试开发 | 基于NSQ搭建高可用分布式消息队列

测吧(北京)科技有限公司

测试

软件测试 | 测试开发 | ThinkPHP 接口开发过程

测吧(北京)科技有限公司

测试

软件测试 | 测试开发 | 堆排序原理及实现

测吧(北京)科技有限公司

测试

软件测试 | 测试开发 | Tornado 异步性能分析

测吧(北京)科技有限公司

测试

ESP32-C3 学习测试 蓝牙 篇(二、蓝牙调试APP、开发板手机连接初体验)

矜辰所致

ESP32-C3 9月月更 蓝牙APP

软件测试 | 测试开发 | Aiomysql 与 Sqlalchemy 的使用

测吧(北京)科技有限公司

测试

禅道的工时管理

禅道项目管理

项目管理 工时 禅道

我与CI流水线的羁绊,任谁也无法斩断!

极狐GitLab

DevOps 持续集成 jenkins CI/CD 极狐GitLab

哪7个场景影响研发效能?

LigaAI

敏捷 LigaAI 企业号九月金秋榜 #敏捷开发 #程序

软件测试 | 测试开发 | 用模拟器实现视频流的音画分离

测吧(北京)科技有限公司

测试

软件测试 | 测试开发 | 提高Android云真机稳定性的方法

测吧(北京)科技有限公司

测试

全网首发!马士兵内部共享—1658页《Java面试突击核心讲》

Geek_0c76c3

Java 数据库 开源 程序员 开发

软件测试 | 测试开发 | Pandas数据分析及可视化应用实践

测吧(北京)科技有限公司

测试

软件测试 | 测试开发 | 分布式锁的实现方案

测吧(北京)科技有限公司

测试

软件测试 | 测试开发 | Lambda表达式介绍和底层实现分析

测吧(北京)科技有限公司

测试

字节跳动基于Doris的湖仓分析探索实践

字节跳动数据平台

数据仓库 数据湖 Doris Hudi 湖仓一体

史上最全499道Java面试题:JVM+分布式+算法+锁+MQ+微服务+数据库

Geek_0c76c3

Java 数据库 开源 架构 面试

软件测试 | 测试开发 | 一种基于视频帧差异视频卡顿检测方案

测吧(北京)科技有限公司

测试

IDC发布《中国边缘云市场解读(2022)》:阿里云蝉联中国公有云市场第一

阿里云视频云

边缘计算 公有云 边缘云

软件测试 | 测试开发 | 相似图像的检测方法

测吧(北京)科技有限公司

测试

一加是OPPO的子品牌?我来说说我的看法

Geek_8a195c

软件测试 | 测试开发 | TorchServe搭建codeBERT分类模型服务

测吧(北京)科技有限公司

测试

ESP32-C3 学习测试 蓝牙 篇(三、认识蓝牙 GATT 协议)

矜辰所致

蓝牙 ESP32-C3 9月月更 GATT

全方位助力数据科学组织协同&个人研究:ModelWhale 产品功能介绍与版本选择指引

ModelWhale

云计算 科技 数据科学 编程建模 组织协同

当下企业数字化转型,PaaS是基础解

ToB行业头条

喜迎华诞!10月月更伴随着国之盛庆向你走来!

InfoQ写作社区官方

热门活动 10月月更

软件测试 | 测试开发 | Android App 保活服务的配置与禁用

测吧(北京)科技有限公司

测试

软件测试 | 测试开发 | Thinkphp5 集成 Swoole

测吧(北京)科技有限公司

测试

一文读懂TDengine的三种查询功能

TDengine

数据库 tdengine 时序数据库 企业号九月金秋榜

Vue3入门指北(五)条件渲染

Augus

Vue 3 9月月更

  • 需要帮助,请添加网站小助手,进入 InfoQ 技术交流群
K8S新安全漏洞的应对之策:API Server拒绝服务漏洞_文化 & 方法_Rancher_InfoQ精选文章