Kubernetes重大漏洞？阿里雲已第一時間全面修復

摘要： Kubernetes社區發現安全漏洞 CVE-2018-1002105，阿里雲容器服務已在第一時間完成全面修復，敬請廣大用戶登陸阿里雲控制檯升級Kubernetes版本。

近日，Kubernetes社區發現安全漏洞 CVE-2018-1002105，阿里雲容器服務已在第一時間完成全面修復，敬請廣大用戶登陸阿里雲控制檯升級Kubernetes版本。

目前Kubernetes開發團隊已經發布V1.10.十一、V1.11.5修復補丁，阿里雲容器服務也已在第一時間完成漏洞全面修復，用戶登陸阿里雲控制檯便可一鍵升級。

更多信息能夠移步公告《關於Kubernetes CVE-2018-1002105 提權漏洞的修復公告》

漏洞發現後的措施

具體而言有一下幾種狀況供你們參考：

1 用戶選用阿里雲容器服務K8s

影響範圍有限，阿里雲容器服務ACK一直在推動和保障最小權限原則，默認開啓了RBAC，經過主帳號受權管理默認禁止了匿名用戶訪問。同時Kubelet 啓動參數爲」anonymous-auth=false」，提供了安全訪問控制，防止外部入侵。對於使用子帳號的多租戶ACK集羣用戶，子帳號訪問Kubernetes，其帳號可能經過Pod exec/attach/portforward越權。若是集羣只有管理員用戶，則無需過分擔憂。子帳號在不通過主帳號自定義受權的狀況下默認不具備聚合API資源的訪問權限。這些子帳號用戶請選擇合適業務時間升級，進入控制檯點擊一鍵更新安全版本Kubernetes。

2 若是是徹底自行搭建K8s

若是是在ECS上自建k8s的用戶，請務必檢查各項配置，若有失誤，會引起較大安全風險。若用戶在阿里雲ECS服務器上自建Kubernetes集羣，建議第一時間登陸Kubernetes官網下載最新版，作好備份給節點打快照，並檢查好配置、確保權限最小化，選擇合適業務時間升級。

3 若是是在無服務器版本

無服務器版本Kubernetes在此以前已額外加固，用戶不受此漏洞影響

更多關於阿里雲容器服務

本次漏洞有限，阿里雲容器服務Kubernetes採用了企業級的安全防禦設計，爲雲上開發者省去了不少煩惱：

• API Server配置默認禁止匿名訪問
• 容器集羣採用VPC方案，網絡環境全隔離
• 用戶能夠選擇在公網隱藏API Server
• 默認子賬號沒有訪問集羣資源的權限

此外，無服務器版本Kubernetes已提早加固，用戶不受此漏洞影響。

去年11月，阿里雲率先推出了Kubernetes管理服務，整合阿里雲在虛擬化、存儲、網絡和安全能力的優點，提供多種應用發佈方式和持續交付能力並支持微服務架構。用戶可輕鬆建立、配置和管理虛擬機羣集，在阿里雲上部署和管理基於容器的應用程序。

爲下降開發應用門檻，阿里雲對Kubernetes能力進行了多重補充。好比，經過選擇不一樣節點，實現異構計算集羣支持深度學習等場景，或者雲上一鍵部署集羣，集成解決方案。

阿里雲容器服務採用了高性能的神龍技術架構，資源利用率提高了3倍以上，同時融合以太網RDMA技術25Gb網絡，相比自建性能可提升數倍。同時，阿里雲仍是業內首家提供ServiceMesh服務網格最佳實踐及異地多活方案的雲廠商。

安全是容器服務的重中之重。阿里雲容器服務充分考慮了企業級的安全訴求，全部組件均提供雙向證書驗證，預製開啓RBAC等鑑權能力，用戶能夠經過阿里雲控制檯能夠安全地管理集羣資源。

做爲國內最大規模的公共雲容器平臺，阿里雲已爲西門子、新浪微博、國泰君安、小鵬汽車、安諾優達等數千多家企業提供容器服務。

原文連接