文档首页 > > 用户指南> 产品公告> 漏洞修复公告> 全面修复安全漏洞 CVE-2018-1002105

全面修复安全漏洞 CVE-2018-1002105

分享
更新时间: 2020/01/22 GMT+08:00

近日,Kubernetes社区发现安全漏洞 CVE-2018-1002105。通过伪造请求,Kubernetes用户可以在已建立的API Server连接上提权访问后端服务,华为云容器服务已在第一时间完成全面修复。

表1 漏洞信息

漏洞类型

CVE-ID

披露/发现时间

华为云修复时间

权限提升

CVE-2018-1002105

2018-12-05

2018-12-05

漏洞详细介绍:https://github.com/kubernetes/kubernetes/issues/71411

影响版本

  • Kubernetes v1.0.x-1.9.x
  • Kubernetes v1.10.0-1.10.10 (fixed in v1.10.11)
  • Kubernetes v1.11.0-1.11.4 (fixed in v1.11.5)
  • Kubernetes v1.12.0-1.12.2 (fixed in v1.12.3)

影响的配置

集群启用了扩展API server,并且kube-apiserver与扩展API server的网络直接连通;

集群对攻击者可见,即攻击者可以访问到kube-apiserver的接口,如果你的集群是部署在安全的私网内,那么不会有影响;

集群开放了 pod exec/attach/portforward 接口,则攻击者可以利用该漏洞获得所有的kubelet API访问权限。

具体影响场景

集群使用了聚合API,只要kube-apiserver与聚合API server的网络直接连通,攻击者就可以利用这个漏洞向聚合API服务器发送任何API请求;

如果集群开启了匿名用户访问的权限,则匿名用户也利用这个漏洞。不幸的是Kubernetes默认允许匿名访问,即kube-apiserver的启动参数”-- anonymous-auth=true”;

给予用户Pod的exec/attach/portforward的权限,用户也可以利用这个漏洞升级为集群管理员,可以对任意Pod做破坏操作;

该漏洞的更详细讨论,可见社区Issue:https://github.com/kubernetes/kubernetes/issues/71411

应对措施与建议

综合以上分析,使用华为云CCE服务的小伙伴们不必过于担心,因为:

  • CCE服务创建的集群默认关闭匿名用户访问权限。
  • CCE服务创建的集群没有使用聚合API。

华为云容器引擎已完成1.11以上版本Kubernetes集群的在线补丁修复,针对低于v1.10的集群(社区已不对其进行修复),已提供补丁版本进行修复,请关注升级公告,及时修复漏洞。

如果你是自己搭建Kubernetes集群,为提高集群的安全系数,建议如下,一定要关闭匿名用户访问权限。

尽快升级到社区漏洞修复版本。合理配置RBAC,只给可信用户Pod的exec/attach/portforward权限。

如果你当前使用的Kubernetes版本低于v1.10,不在官方补丁支持范围内,建议自行回合补丁代码 :https://github.com/kubernetes/kubernetes/pull/71412

分享:

    相关文档

    相关产品

文档是否有解决您的问题?

提交成功!

非常感谢您的反馈,我们会继续努力做到更好!

反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨

智能客服提问云社区提问