设为首页收藏本站

LUPA开源社区

 找回密码
 注册
文章 帖子 博客
LUPA开源社区 首页 业界资讯 开源资讯 查看内容

Kubernetes被曝严重安全漏洞,严重性高达 9.8 分

2018-12-7 12:43| 发布者: joejoe0332| 查看: 234| 评论: 0|原作者: oschina|来自: oschina

摘要: 近日,Kubernetes 被爆出严重安全漏洞,该漏洞 CVE-2018-1002105(又名 Kubernetes 特权升级漏洞,https://github.com/kubernetes/kubernetes/issues/71411)被确认为严重性 9.8 分(满分 10 分)。具体来说,恶意用 ...

近日,Kubernetes 被爆出严重安全漏洞,该漏洞 CVE-2018-1002105(又名 Kubernetes 特权升级漏洞,https://github.com/kubernetes/kubernetes/issues/71411)被确认为严重性 9.8 分(满分 10 分)。具体来说,恶意用户可以使用 Kubernetes API 服务器连接到后端服务器以发送任意请求,并通过 API 服务器的 TLS 凭证进行身份验证。这一安全漏洞的严重性更在于它可以远程执行,攻击并不复杂,不需要用户交互或特殊权限。

更糟糕的是,在 Kubernetes 的默认配置中,允许所有用户(经过身份验证和未经身份验证的用户)执行允许此升级的发现 API 调用。也就是说,任何了解这个漏洞的人都可以掌控你的 Kubernetes 集群

最后的痛苦之处在于,对于用户而言,没有简单的方法来检测此漏洞是否已被使用。由于未经授权的请求是通过已建立的连接进行的,因此它们不会出现在 Kubernetes API 服务器审核日志或服务器日志中。请求确实会出现在 kubelet 或聚合的API服务器日志中,但是却无法与正确通过 Kubernetes API 服务器授权和代理的请求区分开来。

现在,Kubernetes 已经发布了修补版本 v1.10.11、v1.11.5、v1.12.3 和 v1.13.0-rc.1。如果仍在使用 Kubernetes v1.0.x 至 Kubernetes v1.9.x 版本,请即刻停止使用并升级到修补版本。

如果由于某种原因无法进行升级,也必须暂停使用聚合的 API 服务器,并从不应具有对 kubelet API 的完全访问权限的用户中删除 pod exec/attach/portforward 权限(不过也有用户认为这种解决方法的糟糕程度和这个漏洞问题本身不相上下了)。

Kubernetes (通常称为 K8s) 是来自 Google 云平台的开源容器集群管理系统,用于自动部署、扩展和管理容器化(containerized)应用程序
本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 开源中国社区 [http://www.oschina.net]
本文标题:Kubernetes 被曝严重安全漏洞,严重性高达 9.8 分

最新评论(3

Tinian
Tinian
搭起来了一个集群,但是不会用
12叔
12叔
没事我用swarm
clouddyy
clouddyy
→_→

频频被曝安全漏洞的 Android 在 10 月经历了哪些威胁?

谷歌发布了 11 月 Android 系统安全漏洞公告,解决了 31 个漏洞,其中 9 个是严重的远程代码执行漏洞。 Android 系统安全漏洞公告包含了三种不同的安全补丁程序级别。 2017-11-01 和 2017-1...

局长
2017/11/10
2

新版发行+被爆首个严重漏洞,Kubernetes动态有点多

K8S首爆严重安全漏洞,严重性9.8分 Kubernetes于昨晚爆出严重安全漏洞,该漏洞由Rancher Labs联合创始人及首席架构师Darren Shepherd发现。该漏洞CVE-2018-1002105(又名Kubernetes特权升级漏...

RancherLabs
昨天
0

国际知名银行App漏洞曝光:数千万用户的财产面临被盗风险

据国外安全研究人员报告显示,国际知名的数款银行App应用程序存在严重安全漏洞,黑客可利用这些漏洞来窃取银行App使用者的用户名和密码,这将导致数千万用户的财产面临被盗的风险。 据悉,研...

银行App
2017/12/09
0

甲骨文例行更新修复了301个安全漏洞 包含45个严重漏洞

301 个漏洞覆盖了 E-Business Suite、Fusion Middleware、Oracle MySQL、Java SE、PeopleSoft 等产品,其中 45 个为严重漏洞。 甲骨文(Oracle)于本周进行了每季度的例行重要补丁更新(Critic...

达尔文
10/19
0

Adobe再曝Flash重要漏洞 可偷控摄像头

10月20日早间消息,Adobe公司正在修复一个Flash相关的漏洞,该漏洞可以被利用暗中打开访客的麦克风和摄像头。 "该问题在Adobe 服务器的Flash播放器设置管理器中",Adobe的发言人Wiebke Lips...

小卒过河
2011/10/20
20

热门资讯

华为确认?正自主研发手机操作系统以替代安卓
12/03 08:17

酷毙

雷人

鲜花

鸡蛋

漂亮

最新评论

(200字以内)
验证问答 换一个 验证码 换一个

  • 快毕业了,没工作经验,
    找份工作好难啊?
    赶紧去人才芯片公司磨练吧!!

最新评论

关于LUPA|人才芯片工程|人才招聘|LUPA认证|LUPA教育|LUPA开源社区 ( 浙B2-20090187  

返回顶部