K8S漏洞報告 | 近期bug fix解讀&1.13主要bug fix彙總
K8s近期漏洞詳解
Kubernetes儀表盤漏洞(CVE-2018-18264)
因為這一漏洞,使用者可以“跳過”登入過程獲得儀表盤所使用的自定義TLS證書。如果您已將Kubernetes儀表盤配置為需要登入並將其配置為使用自定義TLS證書,那麼這一漏洞會影響到您。
具體來說,該漏洞的運作原理是:
首先,因為登陸時使用者可以選擇“跳過”這一選項,那麼任何使用者都可以繞過登入過程,該過程在v1.10.0或更早版本中始終預設啟用。這樣一來,使用者就完全跳過登入過程並能使用儀表盤配置的服務賬戶。
之後,使用儀表盤配置的服務賬戶,必須最低限度地有許可權訪問自定義TLS證書(以secret的形式儲存)。未經身份驗證的登入,加上儀表板使用配置的服務賬戶來檢索這些secret的能力,組合在一起的結果就是這一安全問題。
社群已經在儀表盤v1.10.1對這個漏洞進行了修復,預設情況下將不再啟用“跳過”選項,並且會禁用儀表盤在UI中檢索和顯示它的功能。
參考連結:
issue:
https://github.com/kubernetes/ ... /2668
修復pr:
https://github.com/kubernetes/dashboard/pull/3289
漏洞描述:
https://nvd.nist.gov/vuln/detail/CVE-2018-18264
Kubernetes API伺服器外部IP地址代理漏洞
Kubernetes API server可以使用pod、node或service代理api,將請求代理的pod或節點上,通過修改podIP或nodeIP,可以將代理請求定向到任何IP。API server總是被部署在某網路中的,利用這個漏洞就訪問該網路中的任何可用IP了。
該漏洞的具體運作原理是:
通過使用Kubernetes API,使用者可以使用節點代理、pod代理或服務代理API請求與pod或節點的連線。Kubernetes接受此請求,找到podIP或nodeIP的關聯IP,並最終將該請求轉發到該IP。這些IP通常由Kubernetes自動分配。但是,叢集管理員(或具有類似“超級使用者”許可權的不同角色)可以更新資源的podIP或nodeIP欄位以指向任意IP。
這在很大程度上不是問題,因為“普通”使用者無法更改資源的podIP或nodeIP。podIP和nodeIP欄位位於pod和節點資源的狀態子資源中。為了更新狀態子資源,必須專門授予RBAC規則。預設情況下,除了叢集管理員和內部Kubernetes元件(例如kubelet、controller-manager、scheduler)之外,沒有Kubernetes角色可以訪問狀態子資源。想要利用此漏洞,首先得擁有對叢集的高級別訪問許可權。
但是在一些特殊場景下,比如雲提供商為使用者提供的kubernetes叢集,API server可能和叢集執行在不同的平面,叢集管理員不能訪問執行API server的主機。
參考連結:
修復pr:
https://github.com/kubernetes/ ... 71980
社群討論:
https://discuss.kubernetes.io/ ... /4072
Kubernetes-csi 日誌漏洞
Kubernetes-csi(container storage interface)是kubernetes提供的一種容器儲存介面,kubernetes可以與街上上執行的外部csi卷驅動程式互動,從而可以將任意儲存系統暴露給自己的容器工作負載。
根據我們介紹的這個漏洞,借點上執行的kubernetes-csi sidecars,當日志級別提高到5或者更高時,會列印所有CSI RPC請求和響應的資訊,其中包括請求過程中使用的secret的詳細資訊。這顯然是不能接受的。
目前該漏洞的修復僅涉及kubernetes-csi專案維護的元件,包括:
kubernetes-csi/external-attacher: v0.4.1 and older, v1.0.0 and older
kubernetes-csi/external-provisioner: v0.4.1 and older, v1.0.0 and older
kubernetes-csi/drivers (iscsi-only): v0.4.1 and older, v1.0.1 and older
如果您正在使用上述版本,可以將元件升級到下面版本以解決這個漏洞:
kubernetes-csi/external-attacher: v0.4.2, v1.0.1
kubernetes-csi/external-provisioner: v0.4.2, v1.0.1
kubernetes-csi/drivers (iscsi-only): v0.4.2, v1.0.1
而其他csi driver提供商也應該評估是否存在相似的問題。
12/25-1/22 1.13bug fix彙總
12/25-1/22期間,雖然沒有特別嚴重的bug,但是需要關注的漏洞修復比較多,且都涉及到比較核心的元件和功能。
1.11.3重要bug fix解讀
