摘要:爆出中等嚴(yán)重性安全漏洞拒絕服務(wù)漏洞��。本文將進(jìn)行漏洞解讀和情景再現(xiàn)���,并分享漏洞修復(fù)方案����,用戶來(lái)看應(yīng)對(duì)之策了漏洞美國(guó)當(dāng)?shù)貢r(shí)間年月日���,社區(qū)發(fā)布了拒絕服務(wù)的漏洞��,即有寫入權(quán)限的用戶在寫入資源時(shí)會(huì)導(dǎo)致過(guò)度消耗資源��,此漏洞被評(píng)級(jí)為中等嚴(yán)重性����。
Kubernetes爆出中等嚴(yán)重性安全漏洞——Kubernetes API Server拒絕服務(wù)漏洞CVE-2019-1002100��。
本文將進(jìn)行漏洞解讀和情景再現(xiàn)�,并分享漏洞修復(fù)方案,Rancher用戶來(lái)看應(yīng)對(duì)之策了�!
CVE-2019-1002100漏洞
美國(guó)當(dāng)?shù)貢r(shí)間2019年3月2日��,Kubernetes社區(qū)發(fā)布了Kubernetes API server拒絕服務(wù)的漏洞(CVE-2019-1002100)�,即有API寫入權(quán)限的用戶在寫入資源時(shí)會(huì)導(dǎo)致Kubernetes API server過(guò)度消耗資源����,此漏洞被評(píng)級(jí)為【中等嚴(yán)重性】。
此漏洞表現(xiàn)為用戶在向Kubernetes API server發(fā)送 json-patch規(guī)則的補(bǔ)丁包來(lái)更新資源對(duì)象時(shí)(例如kubectl patch xxx --type json 或者“Content-Type: application/json-patch+json”)�,Kubernetes API server會(huì)消耗極大的資源,最終導(dǎo)致API server拒絕連接�����。
https://github.com/kubernetes...
情景再現(xiàn)
一個(gè)json-patch的例子:
kubectl patch deployment test --type="json" -p "[{"op": "add", "path": "/metadata/labels/test", "value": "test"}��,{"op": "add", "path": "/metadata/labels/app", "value": "test"} ,{…} ]"
當(dāng)我們向Kubernetes頻繁地發(fā)送多個(gè)json-patch請(qǐng)求來(lái)更新資源對(duì)象時(shí)�����,可以發(fā)現(xiàn)Kubernetes API server會(huì)消耗很多資源來(lái)處理我們的請(qǐng)求�。
此時(shí)會(huì)有一部分資源的patch請(qǐng)求失敗�����,無(wú)法得到Kubernetes API server的響應(yīng)�����。
受此漏洞影響的Kubernetes API server的版本包括:
v1.0.0 – 1.10.x
v1.11.0 – 1.11.7
v1.12.0 – 1.12.5
v1.13.0 – 1.13.3
Kubernetes官方建議用戶在升級(jí)至修復(fù)版本之前,可針對(duì)此漏洞的采取的緩解措施為:
對(duì)不受信任用戶移除patch權(quán)限
漏洞修復(fù)
Kubernetes社區(qū)很快地修復(fù)了此漏洞�����,增加了對(duì)用戶json-patch操作數(shù)量的限制���。
當(dāng)用戶對(duì)某一資源對(duì)象修改的 json-patch 內(nèi)容超過(guò)10000個(gè)操作時(shí)����,Kubernetes API server會(huì)返回413(RequestEntityTooLarge)的錯(cuò)誤��。
錯(cuò)誤信息如下:
Request entity too large: The allowed maximum operations in a JSON patch is 10000, got 10004
修復(fù)的Kubernetes版本包括:
v1.11.8
v1.12.6
v1.13.4
Rancher已發(fā)布最新版本應(yīng)對(duì)此次漏洞
此次也一如既往�,在Kubernetes自身爆出漏洞之后,Rancher Labs團(tuán)隊(duì)都第一時(shí)間響應(yīng)����,保障使用Rancher平臺(tái)管理Kubernetes集群的用戶的安全。
如果你是使用Rancher平臺(tái)管理Kubernetes集群�,不用擔(dān)心,Rancher已于今日發(fā)布了最新版本����,支持包含漏洞修復(fù)的Kubernetes版本�,保障所有Rancher用戶的Kubernetes集群不受此次漏洞困擾�。
最新發(fā)布的Rancher版本為:
v2.1.7(提供Kubernetes v1.11.8, v1.12.6, v1.13.4支持)
v2.0.12(提供Kubernetes v1.11.8支持)
對(duì)于Rancher 1.6.x的用戶,可以在Rancher v1.6.26的Catalog中使用Kubernetes發(fā)布的修復(fù)版本 v1.11.8和v1.12.6
此次漏洞會(huì)影響的Kubernetes版本范圍較廣�����,建議中招的用戶盡快升級(jí)喲��!
為用戶的Docker & K8S之旅護(hù)航
Rancher Kubernetes平臺(tái)擁有著超過(guò)一億次下載量�,我們深知安全問(wèn)題對(duì)于用戶而言的重要性,更遑論那些通過(guò)Rancher平臺(tái)在生產(chǎn)環(huán)境中運(yùn)行Docker及Kubernetes的數(shù)千萬(wàn)用戶��。
2018年年底Kubernetes被爆出的首個(gè)嚴(yán)重安全漏洞CVE-2018-1002105�,就是由Rancher Labs聯(lián)合創(chuàng)始人及首席架構(gòu)師Darren Shepherd發(fā)現(xiàn)的。
2019年1月Kubernetes被爆出儀表盤和外部IP代理安全漏洞CVE-2018-18264時(shí)���,Rancher Labs也是第一時(shí)間向用戶響應(yīng)��,確保所有Rancher 2.x和1.6.x的用戶都完全不被漏洞影響���。
2019年2月爆出的嚴(yán)重的runc容器逃逸漏洞CVE-2019-5736,影響到大多數(shù)Docker與Kubernetes用戶�����,Rancher Kubernetes管理平臺(tái)和RancherOS操作系統(tǒng)均在不到一天時(shí)間內(nèi)緊急更新���,是業(yè)界第一個(gè)緊急發(fā)布新版本支持Docker補(bǔ)丁版本的平臺(tái)���,還幫忙將修復(fù)程序反向移植到所有版本的Docker并提供給用戶,且提供了連Docker官方都不支持的針對(duì)Linux 3.x內(nèi)核的修復(fù)方案�����。
負(fù)責(zé)�、可靠、快速響應(yīng)�、以用戶為中心,是Rancher始終不變的初心���;在每一次業(yè)界出現(xiàn)問(wèn)題時(shí)����,嚴(yán)謹(jǐn)踏實(shí)為用戶提供相應(yīng)的應(yīng)對(duì)之策�,也是Rancher一如既往的行事之道。未來(lái)��,Rancher也將一如既往支持與守護(hù)在用戶的K8S之路左右,確保大家安全�、穩(wěn)妥、無(wú)虞地繼續(xù)前進(jìn)??
文章版權(quán)歸作者所有��,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為���,您可以聯(lián)系管理員刪除�����。
轉(zhuǎn)載請(qǐng)注明本文地址:http://m.hztianpu.com/yun/32910.html
