CVE-2019-11251 安全漏洞
近期 Kubernetes 社区通过 Google Group 频道 kubernetes-security-announce 发布了与 kubectl 相关的安全漏洞 CVE-2019-11251。
具体的问题出现在 kubectl cp 命令,cp 命令允许两个符号链接的组合,将文件复制到外部的目标目录。这可能会被攻击者使用符号链接将网络文件放置在外部目标目录中。
此问题的影响范围涵盖了如下 Kubernetes Client 版本:
Kubernetes v1.13.10
Kubernetes v1.14.6
Kubernetes v1.15.3
用户可以根据 kubectl version –client 命令获取生产集群中的 Kubernetes Client 版本,来判断是否会遭受此类攻击。这个漏洞已经在最新的版本中修复,修复的版本和 Pull Request 信息如下:
通过如下的操作指南可以升级生产集群中的 Kubernetes Client 版本修复此问题:
CVE-2019-16276 安全漏洞
10 月 8 日,Kubernetes 社区通过 Google Group 频道 kubernetes-security-announce 再次发布了与 Go 语言 net/http 相关的安全漏洞 CVE-2019-16276。
这个漏洞导致无效的 http 请求头可能被 go http 服务器例如 Kubernetes APIServer 解析为有效。如果 go http 服务器前端的反向代理例如 Nginx 允许并转发无效的 http 请求头,go http 服务器则可以用与反向代理不同的方式解析这些无效请求头。例如你正在 Kubernetes APIServer 前端使用 Nginx 作为身份验证代理,则会有一组头信息通过 Nginx 传递到 APIServer,例如 x-remote-user、x-remote-groups 等,攻击者可以模拟这些头信息进行身份验证。
Kubernetes 发布团队正在 v1.14、v1.15 和 v1.16 版本构建解决此问题的补丁。具体请查看邮件链接
Kubernetes v1.15.4 Bug Fix 数据分析
Kubernetes v1.15.4 Bug 数量共计 30 个,分类数量和占比统计如下:
严重程度数量统计如下(横坐标 5 为最高,0 为最低):
如下为 Kubernetes v1.15.4 Bug Fix 的汇总信息:
添加小助手微信,加入【容器魔方】技术社群。
评论