K8S 新安全漏洞的应对之策：API Server 拒绝服务漏洞

CVE-2019-1002100 漏洞

美国当地时间 2019 年 3 月 2 日，Kubernetes 社区发布了 Kubernetes API server 拒绝服务的漏洞（CVE-2019-1002100），即有 API 写入权限的用户在写入资源时会导致 Kubernetes API server 过度消耗资源，此漏洞被评级为【中等严重性】。

此漏洞表现为用户在向 Kubernetes API server 发送 json-patch 规则的补丁包来更新资源对象时（例如 kubectl patch xxx --type json 或者“Content-Type: application/json-patch+json”)，Kubernetes API server 会消耗极大的资源，最终导致 API server 拒绝连接。

https://github.com/kubernetes/kubernetes/issues/74534

情景再现

一个 json-patch 的例子：

kubectl patch deployment test --type='json' -p '[{"op": "add", "path": "/metadata/labels/test", "value": "test"}，{"op": "add", "path": "/metadata/labels/app", "value": "test"} ,{…} ]'

当我们向 Kubernetes 频繁地发送多个 json-patch 请求来更新资源对象时，可以发现 Kubernetes API server 会消耗很多资源来处理我们的请求。

此时会有一部分资源的 patch 请求失败，无法得到 Kubernetes API server 的响应。

受此漏洞影响的 Kubernetes API server 的版本包括：

• v1.0.0 – 1.10.x

• v1.11.0 – 1.11.7

• v1.12.0 – 1.12.5

• v1.13.0 – 1.13.3

Kubernetes 官方建议用户在升级至修复版本之前，可针对此漏洞的采取的缓解措施为：

• 对不受信任用户移除 patch 权限

漏洞修复

Kubernetes 社区很快地修复了此漏洞，增加了对用户 json-patch 操作数量的限制。

当用户对某一资源对象修改的 json-patch 内容超过 10000 个操作时，Kubernetes API server 会返回 413（RequestEntityTooLarge）的错误。

错误信息如下：

Request entity too large: The allowed maximum operations in a JSON patch is 10000, got 10004

修复的 Kubernetes 版本包括：

• v1.11.8

• v1.12.6

• v1.13.4

Rancher 已发布最新版本应对此次漏洞

此次也一如既往，在 Kubernetes 自身爆出漏洞之后，Rancher Labs 团队都第一时间响应，保障使用 Rancher 平台管理 Kubernetes 集群的用户的安全。

如果你是使用 Rancher 平台管理 Kubernetes 集群，不用担心，Rancher 已于今日发布了最新版本，支持包含漏洞修复的 Kubernetes 版本，保障所有 Rancher 用户的 Kubernetes 集群不受此次漏洞困扰。

最新发布的 Rancher 版本为：

• v2.1.7（提供 Kubernetes v1.11.8, v1.12.6, v1.13.4 支持）

• v2.0.12（提供 Kubernetes v1.11.8 支持）

• 对于 Rancher 1.6.x 的用户，可以在 Rancher v1.6.26 的 Catalog 中使用 Kubernetes 发布的修复版本 v1.11.8 和 v1.12.6

此次漏洞会影响的 Kubernetes 版本范围较广，建议中招的用户尽快升级哟！

为用户的 Docker & K8S 之旅护航

Rancher Kubernetes 平台拥有着超过一亿次下载量，我们深知 安全问题 对于用户而言的重要性，更遑论那些通过 Rancher 平台在 生产环境 中运行 Docker 及 Kubernetes 的 数千万用户。

2018 年年底 Kubernetes 被爆出的首个严重安全漏洞CVE-2018-1002105，就是由 Rancher Labs 联合创始人及首席架构师 Darren Shepherd 发现的。

2019 年 1 月 Kubernetes 被爆出仪表盘和外部IP代理安全漏洞CVE-2018-18264时，Rancher Labs 也是第一时间向用户响应，确保所有 Rancher 2.x 和 1.6.x 的用户都完全不被漏洞影响。

2019 年 2 月爆出的严重的runc容器逃逸漏洞CVE-2019-5736，影响到大多数 Docker 与 Kubernetes 用户，Rancher Kubernetes 管理平台和 RancherOS 操作系统均在不到一天时间内紧急更新，是业界第一个紧急发布新版本支持 Docker 补丁版本的平台，还帮忙将修复程序反向移植到所有版本的 Docker 并提供给用户，且提供了连 Docker 官方都不支持的针对 Linux 3.x 内核的修复方案。

负责、可靠、快速响应、以用户为中心，是 Rancher 始终不变的初心；在每一次业界出现问题时，严谨踏实为用户提供相应的应对之策，也是 Rancher 一如既往的行事之道。未来，Rancher 也将一如既往支持与守护在用户的 K8S 之路左右，确保大家安全、稳妥、无虞地继续前进❤️