CVE-2019-11251安全漏洞

近期Kubernetes社区通过Google Group频道kubernetes-security-announce发布了与kubectl相关的安全漏洞CVE-2019-11251。

具体的问题出现在kubectl cp命令，cp命令允许两个符号链接的组合，将文件复制到外部的目标目录。这可能会被攻击者使用符号链接将网络文件放置在外部目标目录中。

此问题的影响范围涵盖了如下Kubernetes Client版本：

Kubernetes v1.13.10
Kubernetes v1.14.6
Kubernetes v1.15.3

用户可以根据kubectl version –client命令获取生产集群中的Kubernetes Client版本，来判断是否会遭受此类攻击。这个漏洞已经在最新的版本中修复，修复的版本和Pull Request信息如下：

通过如下的操作指南可以升级生产集群中的Kubernetes Client版本修复此问题：

CVE-2019-16276安全漏洞

10月8日，Kubernetes社区通过Google Group频道kubernetes-security-announce再次发布了与Go语言net/http相关的安全漏洞CVE-2019-16276。

这个漏洞导致无效的http请求头可能被go http服务器例如Kubernetes APIServer解析为有效。如果go http服务器前端的反向代理例如Nginx允许并转发无效的http请求头，go http服务器则可以用与反向代理不同的方式解析这些无效请求头。例如你正在Kubernetes APIServer前端使用Nginx作为身份验证代理，则会有一组头信息通过Nginx传递到APIServer，例如x-remote-user、x-remote-groups等，攻击者可以模拟这些头信息进行身份验证。

Kubernetes发布团队正在v1.14、v1.15和v1.16版本构建解决此问题的补丁。具体请查看邮件链接

Kubernetes v1.15.4 Bug Fix数据分析

Kubernetes v1.15.4 Bug数量共计30个，分类数量和占比统计如下：

严重程度数量统计如下（横坐标5为最高，0为最低）：

如下为Kubernetes v1.15.4 Bug Fix的汇总信息：

添加小助手微信，加入【容器魔方】技术社群。

创作场景

K8s 漏洞报告｜Kubernetes v1.15.4 Bug Fix 数据分析