近日Kubernetes社群發現安全漏洞 CVE-2018-1002105。通過偽造請求，Kubernetes使用者可以在已建立的API Server連線上提權訪問後端服務，阿里雲容器服務已第一時間修復，請登入阿里雲控制檯升級您的Kubernetes版本。

漏洞詳細介紹：https://github.com/kubernetes/kubernetes/issues/71411

影響版本：

• Kubernetes v1.0.x-1.9.x
• Kubernetes v1.10.0-1.10.10 (fixed in v1.10.11)
• Kubernetes v1.11.0-1.11.4 (fixed in v1.11.5)
• Kubernetes v1.12.0-1.12.2 (fixed in v1.12.3)

影響的配置:

1. 叢集啟用了擴充套件API server，並且kube-apiserver與擴充套件API server的網路直接連通；
2. 叢集開放了 pod exec/attach/portforward 介面，攻擊者可以利用該漏洞獲得所有的kubelet API訪問許可權。

阿里雲容器叢集配置

1. 阿里雲容器叢集API Server預設開啟了RBAC，通過主賬號授權管理預設禁止了匿名使用者訪問。同時Kubelet 啟動引數為”anonymous-auth=false”，提供了安全訪問控制，防止外部入侵。
2. 對於使用子賬號的多租戶ACK叢集使用者，子賬號訪問Kubernetes，其賬號可能通過Pod exec/attach/portforward越權。如果叢集只有管理員使用者，則無需過度擔心。
3. 子賬號在不經過主賬號自定義授權的情況下預設不具有聚合API資源的訪問許可權。

解決方法：

對於容器服務ACK的使用者，請進入容器服務-Kubernetes控制檯，在叢集-叢集列表-叢集升級中，點選更新一鍵升級到安全版本的Kubernetes。

• 1.11.2升級到1.11.5，
• 1.10.4升級到1.10.11，
• 1.9及以下的版本請先升級到1.10.11以上。（在1.9版本升級1.10版本時，如叢集使用了雲盤資料卷，需在控制檯首先升級flexvolume外掛）

注: 對於本次漏洞，因為Serverless Kubernetes在此之前已額外加固，使用者不受影響。