文档首页 > > 最佳实践> Web漏洞防护最佳实践> Docker-Kong安全漏洞

Docker-Kong安全漏洞

分享
更新时间:2020/08/17 GMT+08:00

2020年4月16日,华为云安全团队检测到一个Kong云原生API网关的未授权访问漏洞。该组件的开源版本对其Admin API缺乏鉴权能力,攻击方可由此控制整个网络结构。该漏洞被CVSS 3(Common Vulnerability Scoring System,通用漏洞评分系统)评分为9.8 分,级别为“严重”。国家信息安全漏洞库(CNNVD,China National Vulnerability Database of Information Security)将该漏洞评级为“中危”。

漏洞编号

CVE-2020-11710, CNNVD-202004-611

漏洞名称

Docker-Kong安全漏洞

漏洞描述

Kong有开源版本和企业版本,当使用开源Kong Admin REST API时缺乏鉴权能力,如果攻击方在外部能够探测到该API端口即可获取API网关中的数据,相当于拥有了Kong的全部能力,由此可以控制整个网络结构。

影响范围

Docker-Kong 2.0.3以下版本。

官方解决方案

“8001”端口与“8444”端口配置为只开放“127.0.0.1”。请参考以下方法进行配置:

  • 修改“docker-compose.yml”文件,将“8001:8001/tcp”字段修改为“127.0.0.1:8001:8001/tcp”,将“8444:8444/tcp”字段修改为 “127.0.0.1:8444:8444/tcp”
  • 使用iptables命令配置路由表,仅允许指定IP通过,阻断其它IP访问。
  • 使用Kong路由方法,将admin-api路由到localhost上。
  • 配置Kong中的Nginx以屏蔽其它来源访问。

    Kong使用Nginx作为HTTP守护进程。

防护建议

通过华为云WAF的精准访问防护功能,拦截来自外部的对该API端口的访问请求。

  • 方法一

    参考图1,分别添加表1中列出的路径前缀访问的阻断规则,拦截来自外部的对该API端口的访问请求。

    有关精准访问防护规则的详细操作,请参见配置精准访问防护规则

    图1 添加精准访问防护规则
    表1 路径前缀

    参数

    配置参数

    内容

    • /ca_certificates
    • /certificates
    • /consumers
    • /endpoints
    • /plugins
    • /routes
    • /schemas
    • /services
    • /snis
    • /status
    • /tags
    • /targets
    • /upstreams
  • 方法二

    该配置方法仅支持企业版或旗舰版。

    1. 参考图2,将表1批量添加到引用表中。

      创建引用表的详细操作,请参见创建引用表

      图2 添加引用表
    2. 参考图3,配置1中创建的引用表。

      有关精准访问防护规则的详细操作,请参见配置精准访问防护规则

      图3 添加精准访问防护规则-引用表
分享:

    相关文档

    相关产品

文档是否有解决您的问题?

提交成功!非常感谢您的反馈,我们会继续努力做到更好!
反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨

智能客服提问云社区提问