K8S漏洞報告 | 近期bug fix解讀&1.13主要bug fix匯總

K8s近期漏洞詳解

K8s近期漏洞詳解

Kubernetes儀表盤漏洞（CVE-2018-18264）

因?yàn)檫@一漏洞，用戶可以“跳過”登錄過程獲得儀表盤所使用的自定義TLS證書。如果您已將Kubernetes儀表盤配置為需要登錄并將其配置為使用自定義TLS證書，那么這一漏洞會影響到您。

具體來說，該漏洞的運(yùn)作原理是：

首先，因?yàn)榈顷憰r用戶可以選擇“跳過”這一選項(xiàng)，那么任何用戶都可以繞過登錄過程，該過程在v1.10.0或更早版本中始終默認(rèn)啟用。這樣一來，用戶就完全跳過登錄過程并能使用儀表盤配置的服務(wù)賬戶。

之后，使用儀表盤配置的服務(wù)賬戶，必須最低限度地有權(quán)限訪問自定義TLS證書（以secret的形式存儲）。未經(jīng)身份驗(yàn)證的登錄，加上儀表板使用配置的服務(wù)賬戶來檢索這些secret的能力，組合在一起的結(jié)果就是這一安全問題。

社區(qū)已經(jīng)在儀表盤v1.10.1對這個漏洞進(jìn)行了修復(fù)，默認(rèn)情況下將不再啟用“跳過”選項(xiàng)，并且會禁用儀表盤在UI中檢索和顯示它的功能。

參考鏈接：

issue:

https://github.com/kubernetes/dashboard/issues/2668

修復(fù)pr:

https://github.com/kubernetes/dashboard/pull/3289

漏洞描述:

https://nvd.nist.gov/vuln/detail/CVE-2018-18264

Kubernetes API服務(wù)器外部IP地址代理漏洞

Kubernetes API server可以使用pod、node或service代理api，將請求代理的pod或節(jié)點(diǎn)上，通過修改podIP或nodeIP，可以將代理請求定向到任何IP。API server總是被部署在某網(wǎng)絡(luò)中的，利用這個漏洞就訪問該網(wǎng)絡(luò)中的任何可用IP了。

該漏洞的具體運(yùn)作原理是：

通過使用Kubernetes API，用戶可以使用節(jié)點(diǎn)代理、pod代理或服務(wù)代理API請求與pod或節(jié)點(diǎn)的連接。Kubernetes接受此請求，找到podIP或nodeIP的關(guān)聯(lián)IP，并最終將該請求轉(zhuǎn)發(fā)到該IP。這些IP通常由Kubernetes自動分配。但是，集群管理員（或具有類似“超級用戶”權(quán)限的不同角色）可以更新資源的podIP或nodeIP字段以指向任意IP。

這在很大程度上不是問題，因?yàn)椤捌胀ā庇脩魺o法更改資源的podIP或nodeIP。podIP和nodeIP字段位于pod和節(jié)點(diǎn)資源的狀態(tài)子資源中。為了更新狀態(tài)子資源，必須專門授予RBAC規(guī)則。默認(rèn)情況下，除了集群管理員和內(nèi)部Kubernetes組件（例如kubelet、controller-manager、scheduler）之外，沒有Kubernetes角色可以訪問狀態(tài)子資源。想要利用此漏洞，首先得擁有對集群的高級別訪問權(quán)限。

但是在一些特殊場景下，比如云提供商為用戶提供的kubernetes集群，API server可能和集群運(yùn)行在不同的平面，集群管理員不能訪問運(yùn)行API server的主機(jī)。

參考鏈接：

修復(fù)pr:

https://github.com/kubernetes/kubernetes/pull/71980

社區(qū)討論:

https://discuss.kubernetes.io/t/security-impact-of-kubernetes-api-server-external-ip-address-proxying/4072

Kubernetes-csi 日志漏洞

Kubernetes-csi（container storage interface）是kubernetes提供的一種容器存儲接口，kubernetes可以與街上上運(yùn)行的外部csi卷驅(qū)動程序交互，從而可以將任意存儲系統(tǒng)暴露給自己的容器工作負(fù)載。

根據(jù)我們介紹的這個漏洞，借點(diǎn)上運(yùn)行的kubernetes-csi sidecars，當(dāng)日志級別提高到5或者更高時，會打印所有CSI RPC請求和響應(yīng)的信息，其中包括請求過程中使用的secret的詳細(xì)信息。這顯然是不能接受的。

目前該漏洞的修復(fù)僅涉及kubernetes-csi項(xiàng)目維護(hù)的組件，包括：

kubernetes-csi/external-attacher: v0.4.1 and older, v1.0.0 and older

kubernetes-csi/external-provisioner: v0.4.1 and older, v1.0.0 and older

kubernetes-csi/drivers (iscsi-only): v0.4.1 and older, v1.0.1 and older

如果您正在使用上述版本，可以將組件升級到下面版本以解決這個漏洞：

kubernetes-csi/external-attacher: v0.4.2, v1.0.1

kubernetes-csi/external-provisioner: v0.4.2, v1.0.1

kubernetes-csi/drivers (iscsi-only): v0.4.2, v1.0.1

而其他csi driver提供商也應(yīng)該評估是否存在相似的問題。

12/25-1/22 1.13bug fix匯總

12/25-1/22期間，雖然沒有特別嚴(yán)重的bug，但是需要關(guān)注的漏洞修復(fù)比較多，且都涉及到比較核心的組件和功能。

1.11.3重要bug fix解讀

K8S

版權(quán)聲明：本文內(nèi)容由網(wǎng)絡(luò)用戶投稿，版權(quán)歸原作者所有，本站不擁有其著作權(quán)，亦不承擔(dān)相應(yīng)法律責(zé)任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實(shí)的內(nèi)容，請聯(lián)系我們jiasou666@gmail.com 處理，核實(shí)后本網(wǎng)站將在24小時內(nèi)刪除侵權(quán)內(nèi)容。

版權(quán)聲明：本文內(nèi)容由網(wǎng)絡(luò)用戶投稿，版權(quán)歸原作者所有，本站不擁有其著作權(quán)，亦不承擔(dān)相應(yīng)法律責(zé)任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實(shí)的內(nèi)容，請聯(lián)系我們jiasou666@gmail.com 處理，核實(shí)后本網(wǎng)站將在24小時內(nèi)刪除侵權(quán)內(nèi)容。