Kubernetes的第一个主要安全漏洞被发现

到目前为止，Kubernetes已经成为最受欢迎的云容器编排系统，所以它的第一个主要安全漏洞被发现只是时间问题。而错误，CVE-2018-1002105，又名Kubernetes特权升级漏洞，是一个愚蠢的。这是一个CVSS 9.8关键安全漏洞。

通过特制的网络请求，任何用户都可以通过Kubernetes应用程序编程接口（API）服务器与后端服务器建立连接。一旦建立，攻击者就可以通过网络连接直接向该后端发送任意请求。通过Kubernetes API服务器的传输层安全性（TLS）凭证对这些请求进行身份验证。


你能说root吗？我知道你可以。

更糟糕的是，“在默认配置中，允许所有用户（经过身份验证和未经身份验证的用户）执行允许此升级的发现API调用。”所以，是的，任何了解这个洞的人都可以掌控你的Kubernetes集群。

哦，最后的痛苦之处：“没有简单的方法来检测是否已使用此漏洞。由于未经授权的请求是通过已建立的连接进行的，因此它们不会出现在Kubernetes API服务器审核日志或服务器日志中请求确实出现在kubelet或聚合的API服务器日志中，但是通过Kubernetes API服务器与正确授权和代理的请求无法区分。“

换句话说，Red Hat说：“权限升级漏洞使得任何用户都可以在Kubernetes pod中运行的任何计算节点上获得完全管理员权限。这是一个大问题。这个演员不仅可以窃取敏感数据或注入恶意代码，但它们也可以从组织的防火墙内删除生产应用程序和服务。“

幸运的是，有一个修复，但你们中的一些人不会喜欢它。你必须升级Kubernetes。现在。具体来说，有Kubernetes v1.10.11，v1.11.5，v1.12.3和v1.13.0-rc.1的修补版本。

如果您仍在使用Kubernetes v1.0.x-1.9.x，请停止。更新到修补版本。如果由于某种原因你不能向上移动，有治疗方法，但它们几乎比疾病更糟糕。您必须暂停使用聚合的API服务器，并从不应具有对kubelet API的完全访问权限的用户中删除pod exec / attach / portforward权限。修复该漏洞的Google软件工程师Jordan Liggitt表示，这些缓解措施可能具有破坏性。您认为？

唯一真正的解决方法是升级Kubernetes。


任何包含Kubernetes的程序都很容易受到攻击。 Kubernetes分销商已经发布修复程序。

Red Hat报告其所有“基于Kubernetes的服务和产品 - 包括Red Hat OpenShift容器平台，Red Hat OpenShift Online和Red Hat OpenShift Dedicated - 都受到影响。”红帽已经开始向受影响的用户提供补丁和服务更新。

据有人所知，没有人使用安全漏洞攻击任何人。 Rancher Labs的首席架构师兼联合创始人Darren Shepard发现了该漏洞并使用Kubernetes漏洞报告流程进行了报告。

但是 - 这是一个很大的但是 - 滥用漏洞会在日志中留下明显的痕迹。而且，既然有关Kubernetes特权升级漏洞的消息已经消失，那么它被滥用只是时间问题。

因此，在您的公司陷入困境之前，再次感受并升级您的Kubernetes系统。