打印 上一主题 下一主题

【安全预警】关于 Kubernetes 权限提升漏洞的通知

跳转到指定楼层
楼主
SetYun 发表于 2018-12-7 12:28:03 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
尊敬的腾讯云客户,您好:   近日,腾讯云安全中心监测到 Kubernetes  被曝存在严重的权限提升漏洞(漏洞编号:CVE-2018-1002105),攻击者可利用该漏洞访问未被授权访问的 Kubernetes  集群资源甚至导致权限提升,发起恶意请求最终危害业务系统安全。
       为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。


【漏洞详情】
攻击者可以构造特殊的请求,利用 Kubernetes API 服务器与后端服务器建立连接,通过该连接直接向该后端的 kubelet API 发送任意请求,可能执行危险的 kubernetes 指令(exec/attach/portforward),危害集群和业务系统的安全。


【风险等级】
   高风险

【漏洞风险】
权限提升

【影响版本】
目前已知受影响版本如下:
Kubernetes v1.0.x-1.9.x 版本
Kubernetes v1.10.0-1.10.10 版本 (在 v1.10.11 版本中问题修复)
Kubernetes v1.11.0-1.11.4 版本(在 v1.11.5 版本中问题修复)
Kubernetes v1.12.0-1.12.2 版本(在 v1.12.3 版本中问题修复)


【安全版本】
Kubernetes v1.10.11 版本
Kubernetes v1.11.5 版本
Kubernetes v1.12.3 版本
Kubernetes v1.13.0-rc.1 版本


【修复建议】
【腾讯云 TKE 用户】
1、如果您正在使用腾讯云容器服务 TKE,请您检查您当前的TKE服务版本:
检查方法:进入容器服务控制台,查看集群列表,Kubernetes版本字段。
2、如果您使用的版本为 1.8 及以上版本,腾讯云团队今晚 24:00 左右将对最新版本 TKE 云容器服务(Kubernetes 1.8.13 和1.10.5版本)进行升级更新以修复该漏洞,届时您的服务将不受影响,您可以放心使用。
3、如果您使用的版本为 1.7.8 及以下版本,建议您进行如下操作:
1)提交工单联系我们升级集群主节点(Master版本),升级完成后可以前往控制台进行节点版本升级。
2)缓解方案:关闭公网访问Kubernetes集群入口,具体操作方法:
https://cloud.tencent.com/document/product/457/31067



【非腾讯云 TKE 用户】

以下修复建议适用于直接使用 Kubernetes 而未使用腾讯云 TKE 服务的用户。
升级 Kubernetes 到对应的安全版本。
Kubernetes v1.10.11 版本下载地址:https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG-1.10.md/#v11011
Kubernetes v1.11.5 版本下载地址:https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG-1.11.md/#v1115
Kubernetes v1.12.3 版本下载地址:https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG-1.12.md/#v1123
Kubernetes v1.13.0-rc.1 版本下载地址:https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG-1.13.md/#v1130-rc1

【备注】建议您在升级前做好数据备份工作,避免出现意外。




【漏洞参考】
1)漏洞细节:https://github.com/kubernetes/kubernetes/issues/71411
2)Redhat公告:https://bugzilla.redhat.com/show_bug.cgi?id=1648138



回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|SetYun ( 辽ICP备16005250号

GMT+8, 2024-12-22 13:12 , Processed in 0.036659 second(s), 5 queries , File On.

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表