Kubernetes 被曝嚴重安全漏洞,嚴重性高達 9.8 分
近日,Kubernetes 被爆出嚴重安全漏洞,該漏洞 CVE-2018-1002105(又名 Kubernetes 特權升級漏洞,https://github.com/kubernetes/kubernetes/issues/71411)被確認為嚴重性 9.8 分(滿分 10 分)。具體來說,惡意使用者可以使用 Kubernetes API 伺服器連線到後端伺服器以傳送任意請求,並通過 API 伺服器的 TLS 憑證進行身份驗證。這一安全漏洞的嚴重性更在於它可以遠端執行,攻擊並不複雜,不需要使用者互動或特殊許可權。
更糟糕的是,在 Kubernetes 的預設配置中,允許所有使用者(經過身份驗證和未經身份驗證的使用者)執行允許此升級的發現 API 呼叫。也就是說,任何瞭解這個漏洞的人都可以掌控你的 Kubernetes 叢集
最後的痛苦之處在於,對於使用者而言,沒有簡單的方法來檢測此漏洞是否已被使用。由於未經授權的請求是通過已建立的連線進行的,因此它們不會出現在 Kubernetes API 伺服器稽核日誌或伺服器日誌中。請求確實會出現在 kubelet 或聚合的API伺服器日誌中,但是卻無法與正確通過 Kubernetes API 伺服器授權和代理的請求區分開來。
現在,Kubernetes 已經發布了修補版本 v1.10.11、v1.11.5、v1.12.3 和 v1.13.0-rc.1。如果仍在使用 Kubernetes v1.0.x 至 Kubernetes v1.9.x 版本,請即刻停止使用並升級到修補版本。
如果由於某種原因無法進行升級,也必須暫停使用聚合的 API 伺服器,並從不應具有對 kubelet API 的完全訪問許可權的使用者中刪除 pod exec/attach/portforward 許可權(不過也有使用者認為這種解決方法的糟糕程度和這個漏洞問題本身不相上下了)。