开发者社区> 志敏> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

关于Kubernetes CVE-2018-1002105 提权漏洞的修复公告

简介: 近日Kubernetes社区发现安全漏洞 CVE-2018-1002105。通过伪造请求,Kubernetes用户可以在已建立的API Server连接上提权访问后端服务,阿里云容器服务已第一时间修复,请登录阿里云控制台升级您的Kubernetes版本。
+关注继续查看

近日Kubernetes社区发现安全漏洞 CVE-2018-1002105。通过伪造请求,Kubernetes用户可以在已建立的API Server连接上提权访问后端服务,阿里云容器服务已第一时间修复,请登录阿里云控制台升级您的Kubernetes版本。

漏洞详细介绍:https://github.com/kubernetes/kubernetes/issues/71411

影响版本:

  • Kubernetes v1.0.x-1.9.x
  • Kubernetes v1.10.0-1.10.10 (fixed in v1.10.11)
  • Kubernetes v1.11.0-1.11.4 (fixed in v1.11.5)
  • Kubernetes v1.12.0-1.12.2 (fixed in v1.12.3)

影响的配置:

  1. 集群启用了扩展API server,并且kube-apiserver与扩展API server的网络直接连通;
  2. 集群开放了 pod exec/attach/portforward 接口,攻击者可以利用该漏洞获得所有的kubelet API访问权限。

阿里云容器集群配置

  1. 阿里云容器集群API Server默认开启了RBAC,通过主账号授权管理默认禁止了匿名用户访问。同时Kubelet 启动参数为”anonymous-auth=false”,提供了安全访问控制,防止外部入侵。
  2. 对于使用子账号的多租户ACK集群用户,子账号访问Kubernetes,其账号可能通过Pod exec/attach/portforward越权。如果集群只有管理员用户,则无需过度担心。
  3. 子账号在不经过主账号自定义授权的情况下默认不具有聚合API资源的访问权限。

解决方法:

对于容器服务ACK的用户,请进入容器服务-Kubernetes控制台,在集群-集群列表-集群升级中,点击更新一键升级到安全版本的Kubernetes。

  • 1.11.2升级到1.11.5,
  • 1.10.4升级到1.10.11,
  • 1.9及以下的版本请先升级到1.10.11以上。(在1.9版本升级1.10版本时,如集群使用了云盘数据卷,需在控制台首先升级flexvolume插件)

注: 对于本次漏洞,因为Serverless Kubernetes在此之前已额外加固,用户不受影响。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
大规模 Kubernetes 集群故障注入的利器-ChaosBlade
本文将主要介绍 ChaosBlade 在 Kubernetes 中故障注入的底层实现原理、版本优化过程以及大规模应用演练测试。01
0 0
蚂蚁大规模 Kubernetes 集群无损升级实践指南【探索篇】
蚂蚁 Sigma 作为蚂蚁集团核心的基础设施,经过多年的发展其规模已经处于业界领先位置,大规模集群对 Kubernetes 的稳定性及功能性提出更高的要求。蚂蚁 Sigma 力争在万级规模的云原生环境下,挑战高效稳定、无损无感的云原生操作系统升级,给用户带来极致稳定的、功能新颖的云原生服务。
0 0
Kubernetes 集群部署 Redis + redis_exporter (单点)
在使用 Kubernetes 部署应用后,一般会习惯与将应用的配置文件外置,用 ConfigMap 存储,然后挂载进入镜像内部。这样,只要修改 ConfigMap 里面的配置,再重启应用就能很方便就能够使应用重新加载新的配置,很方便。
0 0
Kubernetes 集群部署 NFS-Subdir-External-Provisioner 存储插件
Kubernetes 对 Pod 进行调度时,以当时集群中各节点的可用资源作为主要依据,自动选择某一个可用的节点,并将 Pod 分配到该节点上。在这种情况下,Pod 中容器数据的持久化如果存储在所在节点的磁盘上,就会产生不可预知的问题,例如,当 Pod 出现故障,Kubernetes 重新调度之后,Pod 所在的新节点上,并不存在上一次 Pod 运行时所在节点上的数
0 0
Kubernetes 集群可视化监控之Weave Scope
weave scope 可以以其简洁的可视化为我们更生动形象的展现出service/controller/pod等资源对象的管理及简单的 Web UI 操作,方便故障排除及时定位。
0 0
Kubernetes 集群基本概念
Kubernetes 集群基本概念
0 0
如果你非要在 Kubernetes 集群中用 nscd
前言我写了一篇文档《Kubernetes 集群中的 DNS 最佳实践》,其中提到你可以使用 nscd 作为容器内的 DNS 缓存。对,只写了这简单一句话,但没有提到其具体的实现方案。原因是 nscd 方案可能是我最不推荐的方案,本文将阐述你应该优先考虑的方案、为什么不推荐 nscd、以及如何合理地在 Kubernetes 集群中使用 nscd。更好的方案连接池在 Kubernetes 集群中 DN
0 0
Kubernetes集群添加用户
Kubernetes集群添加用户
0 0
自建Kubernetes集群如何使用免密组件拉取容器镜像
aliyun-acr-credential-helper是一个可以在ACK集群中免密拉取ACR个人版或企业版私有镜像的组件。该组件会默认安装在所有ACK集群中。本文列举四个场景介绍如何使用免密组件拉取私有镜像。
0 0
在 Kubernetes 集群中通过 dns-admission-controller 来调整 Pod dns 配置
本文介绍 dns-admission-controller 组件,通过 mutating webhook 机制能够在集群级别自动调整 pod 的 dns 配置,灵活性强、侵入性低。
0 0
+关注
志敏
志敏,阿里云高级专家,目前负责阿里云容器技术相关的产品。主要关注Kubernetes和云原生计算。
文章
问答
来源圈子
更多
容器服务 Kubernetes 版(简称 ACK)提供高性能可伸缩的容器应用管理能力,支持企业级 Kubernetes 容器化应用的全生命周期管理。容器服务 Kubernetes 版简化集群的搭建和扩容等工作,整合阿里云虚拟化、存储、网络和安全能力,打造云端最佳的 Kubernetes 容器化应用运行环境。
+ 订阅
文章排行榜
最热
最新
相关电子书
更多
阿里的Kubernetes测试环境开源工具箱
立即下载
Kubernetes资源管控心得与Gardener开源软件
立即下载
多租户Kubernetes实践-从容器运行时到SDN
立即下载