Kubernetes Kubectl曝安全漏洞,用户应该如何应对?

发布时间:2020-07-16 22:36:08 作者:RancherLabs
来源:网络 阅读:493

北京时间9月19日,Kubernetes发布了一个编号为CVE-2019-11251的漏洞,该漏洞被标记为中等安全问题。其影响的Kubernetes版本为v1.13.10、v1.14.6和v1.15.3。经过分析,Rancher安全风险评估团队认为,此次Kubernetes CVE不会影响Rancher产品的安全问题,因此无需立即发布2.1.x和2.2.x版本,且我们将在下一个季度的第一个维护版本中升级Rancher UI中使用的kubectl版本。
 
Kubernetes Kubectl曝安全漏洞,用户应该如何应对?
 

CVE-2019-11251

 
如果您无法确定自己使用的版本是否受到安全漏洞的影响,您可以运行kubectl version –client这一命令,如果它返回的Kubernetes版本为v1.13.10、v1.14.6 和 v1.15.3,那么建议您尽快升级,详情参阅:
 
https://kubernetes.io/docs/tasks/tools/install-kubectl/
 

漏洞详情

 

这一漏洞和CVE-2019-1002101以及CVE-2019-11246十分类似。该漏洞允许两个symlink的组合将文件复制到其目标目录之外。这使得***可以使用目标树之外的symlink放置netfarious文件。
 

在Kubernetes 1.16中,通过移除在kubectl cp中对symlink的支持修复了这一问题。官方建议你使用exec命令行和tar包组合作为替代。详情请参阅:

https://github.com/kubernetes/kubernetes/pull/82143
 

根据这一安全漏洞,还有另一种修复方式:改变kubectl cp un-tar symlink的逻辑,通过解压缩所有常规文件之后解压缩symlink。这样可以保证无法通过symlink写入文件。这一修复方式在v1.15.4、v1.14.7和v1.13.11中更新。
 

Kubernetes 1.16发布

 

美国时间9月18日Kubernetes发布了2019年的第三个新版本1.16。这一版本由31个增强功能组成:8个stable、8个beta、15个alpha。这一版本更新主要围绕以下4个方面:

 

 

更多新版本详情,请参阅:

https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG-1.16.md#v1160

 

Rancher的应对之策

 

Rancher安全风险评估团队经过分析后确认,此次Kubernetes CVE不会影响Rancher产品的安全问题,因此Rancher团队不会立即发布新的2.1.x和2.2.x修复版本,但在下季度计划发布的第一个维护版本中将升级Rancher UI中使用的kubectl版本。

 

用户将文件从容器复制到主机时,上游CVE会影响kubectl cp命令,进而会导致主机允许两个symlink将文件复制到目标目录之外。但是这一场景与Rancher UI中使用的kubectl无关,因为每个kubectl会话仅启动临时数据存储,该数据存储在会话关闭时消失。

 

此次CVE不会对Rancher产品自身的安全性造成影响,理论上亦不属于Rancher产品支持范围,不过Rancher团队依然建议Rancher 2.x用户升级自己本地的kubectl版本,且Rancher也会在下季度计划发布的第一个维护版本中升级Rancher UI中使用的kubectl版本。

 

对于Rancher的企业级订阅客户,如果您对K8S这一CVE有任何疑虑、想要获取更多安全问题咨询或者升级指南,都可以联系Rancher Support Team获取技术支持。

推荐阅读:
  1. kubernetes集群的运行流程介绍
  2. Kubernetes中kubectl工具的使用

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

kubernetes uber

上一篇:在CMD命令行中运行py文件

下一篇:DES加密解密

相关阅读

您好,登录后才能下订单哦!

密码登录
登录注册
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》