首页
Kubernetes教程

分类

当前位置: 天天编程网 > 技术新闻 > Kubernetes教程 >正文

Kubernetes 暴惊天大漏洞,请升级生产环境的集群!

更新时间:2023-08-26  作者:佚名   来源: 网络转载

近期Kubernetes爆出安全漏洞,Kubernetes产品安全团队表示,近日在Kubernetes API Server 存在权限扩张漏洞,该漏洞由 Rancher Laba 首席架构师Darren Shepherd发现,漏洞编号为CVE-2018-1002105。

Kubernetes 暴惊天大漏洞,请升级生产环境的集群![kubernetes最新资讯]

攻击者可通过伪造的请求,在已建立的API Server连接上提权访问后端服务。更加糟糕的是,没有简单的方法可以检测是否已使用此漏洞。由于未经授权的请求是通过已建立的连接进行的,因此它们不会出现在Kubernetes API Server审核日志或服务器日志中。解决此漏洞唯一方式是尽快升级你的Kubernetes。

目前Kubernetes已发布新版本,来解决该漏洞带来的风险,Kubernetes安全团队Google高级工程师Jordan Liggitt建议,Kubernetes企业用户应该尽快选择对应版本进行更新;

CVE-2018-1002105漏洞受影响的版本:

Kubernetes v1.0.x-1.9.x

Kubernetes v1.10.0-1.10.10

Kubernetes v1.11.0-1.11.4

Kubernetes v1.12.0-1.12.2

修复补丁版本:

Kubernetes v1.10.11

Kubernetes v1.11.5

Kubernetes v1.12.3

Kubernetes v1.13.0-RC.1

影响的配置:

  • 集群启用了扩展API server,并且kube-apiserver与扩展API server的网络直接连通;
  • 集群开放了 pod exec/attach/portforward 接口,攻击者可以利用该漏洞获得所有的kubelet API访问权限。

更多详细介绍:

https://github.com/kubernetes/kubernetes/issues/71411

上一篇:Kubernetes 2018 年度简史[kubernetes最新资讯] 下一篇:Kubernetes 1.13 正式发布,功能亮点一览![kubernetes最新资讯]
小编推荐
快速导航更多>>
JavaScript 教程 HTML5 教程 CSS3 教程 jQuery 教程 Vue.js 教程 Node.js 教程 SQL 教程 C 教程 PHP 教程 Linux 教程 Docker 教程 Nginx 教程 Python 教程 Java 教程

天天编程网 版权所有

陕ICP备2023002928号-1

返回顶部