K8s 漏洞报告｜Kubernetes v1.15.4 Bug Fix 数据分析

CVE-2019-11251 安全漏洞

近期 Kubernetes 社区通过 Google Group 频道 kubernetes-security-announce 发布了与 kubectl 相关的安全漏洞 CVE-2019-11251。

具体的问题出现在 kubectl cp 命令，cp 命令允许两个符号链接的组合，将文件复制到外部的目标目录。这可能会被攻击者使用符号链接将网络文件放置在外部目标目录中。

此问题的影响范围涵盖了如下 Kubernetes Client 版本：

1. Kubernetes v1.13.10

2. Kubernetes v1.14.6

3. Kubernetes v1.15.3

用户可以根据 kubectl version –client 命令获取生产集群中的 Kubernetes Client 版本，来判断是否会遭受此类攻击。这个漏洞已经在最新的版本中修复，修复的版本和 Pull Request 信息如下：

• Kubernetes v1.13.11
  

• Kubernetes v1.14.7
  

• Kubernetes v1.15.4
  

通过如下的操作指南可以升级生产集群中的 Kubernetes Client 版本修复此问题：

CVE-2019-16276 安全漏洞

10 月 8 日，Kubernetes 社区通过 Google Group 频道 kubernetes-security-announce 再次发布了与 Go 语言 net/http 相关的安全漏洞 CVE-2019-16276。

这个漏洞导致无效的 http 请求头可能被 go http 服务器例如 Kubernetes APIServer 解析为有效。如果 go http 服务器前端的反向代理例如 Nginx 允许并转发无效的 http 请求头，go http 服务器则可以用与反向代理不同的方式解析这些无效请求头。例如你正在 Kubernetes APIServer 前端使用 Nginx 作为身份验证代理，则会有一组头信息通过 Nginx 传递到 APIServer，例如 x-remote-user、x-remote-groups 等，攻击者可以模拟这些头信息进行身份验证。

Kubernetes 发布团队正在 v1.14、v1.15 和 v1.16 版本构建解决此问题的补丁。具体请查看邮件链接

Kubernetes v1.15.4 Bug Fix 数据分析

Kubernetes v1.15.4 Bug 数量共计 30 个，分类数量和占比统计如下：

严重程度数量统计如下（横坐标 5 为最高，0 为最低）：

如下为 Kubernetes v1.15.4 Bug Fix 的汇总信息：

添加小助手微信，加入【容器魔方】技术社群。