Kubernetes新近kubectl及CNI漏洞修復,Rancher 2.2.1發佈

今天,Kubernetes發佈了一系列補丁版本,修復新近發現的兩個安全漏洞CVE-2019-1002101(kubectl cp命令安全漏洞)和CVE-2019-9946(CNI端口映射插件漏洞)。Rancher也緊急更新,發佈一系列新版以支持Kubernetes補丁版本。安全

本文將介紹CVE-2019-1002101和CVE-2019-9946的詳情、原理、受影響版本及升級建議,以及Rancher提供給用戶的應對之策。網絡

CVE-2019-1002101架構

漏洞詳情及原理框架

CVE-2019-1002101是kubectl cp命令中存在的安全漏洞,嚴重等級爲【高】,攻擊者可使用kubectl cp命令替換或刪除用戶工做站上的文件,在用戶計算機的任何路徑上寫入惡意文件。工具

kubectl cp命令容許在容器和用戶計算機之間複製文件。爲了從容器中複製文件,Kubernetes會在容器內建立一個tar,經過網絡複製它,而後kubectl會在用戶的機器上解壓縮它。操作系統

而若是容器中的tar二進制文件是惡意的,它能夠運行任何代碼並輸出意外的惡意結果。在用戶調用kubectl cp時,攻擊者可使用它將文件寫入用戶計算機上的任何路徑,只有本地用戶的系統權限有可能限制這一操做。插件

受影響的版本及升級建議代理

什麼版本用戶會被這次漏洞影響?試着運行kubectl version—client進行查看,除了1.11.九、1.12.七、1.13.五、1.14.0或更新版本以外,其餘均爲易受攻擊的版本。blog

全部使用易受攻擊版本的用戶,都被建議升級至Kubernetes今天發佈的補丁版本:1.11.九、1.12.七、1.13.五、1.14.0。教程

kubectl的安裝和設置方法,能夠參照這一連接的說明教程:

https://kubernetes.io/docs/tasks/tools/install-kubectl/

CVE-2019-9946

漏洞詳情及原理

CVE-2019-9946是Kubernetes CNI框架中的安全漏洞,0.7.5以前版本的CNI插件端口映射和Kubernetes之間的交互中發現了安全問題,嚴重等級爲【中等】。由於CNI 端口映射插件是嵌入到Kubernetes版本中的,只有升級至新版本的Kubernetes才能解決此問題。

在此修復以前,當咱們配置HostPorts端口映射方式時CNI插件會在iptables nat鏈以前插入規則,這將優先於KUBE- SERVICES鏈。所以,傳入流量時,流量會優先通過HostPort的規則,即便以後在鏈中出現了更適合、更具體的服務定義規則(例如NodePorts),依然會由HostPort 的規則來匹配傳入的流量。

如今修復以後,將端口映射插件的規則由「最優先」變爲「附加」,則可讓流量優先由KUBE-SERVICES規則處理。只有當流量與服務不匹配時,纔會考慮使用HostPorts。

受影響的版本及升級建議

由於這會影響插件界面,所以若是你不徹底瞭解本身的Kubernetes配置,很難肯定本身是否會受此漏洞影響。IPVS模式下的kube-proxy配置加上使用HostPort端口映射類型的pod,是確定會被這一漏洞影響的。但一樣須要注意的是,其餘網絡配置方式也有可能使用了CNI 的portmap端口映射插件。

運行kubectl version --short | grep Server,若是它顯示你使用的不是1.11.九、1.12.七、1.13.5和1.14.0或更新的版本,且若是你的Kubernetes與使用了端口映射插件的CNI配置配對,那麼你極有可能會受這一漏洞影響。

但無需特別擔憂的是,只需按照管理工具或供應商的說明,升級到最新補丁版本的Kubernetes(1.11.九、1.12.七、1.13.5和1.14.0)便可。

Rancher已發佈最新版本應對這次漏洞

這次也一如既往,在Kubernetes自身爆出漏洞以後,Rancher Labs團隊都第一時間響應,保障使用Rancher平臺管理Kubernetes集羣的用戶的安全。

若是你是使用Rancher平臺管理Kubernetes集羣,不用擔憂,Rancher已於今日發佈了最新版本,支持包含漏洞修復的Kubernetes版本(1.11.九、1.12.7和1.13.5),保障全部Rancher用戶的Kubernetes集羣不受這次漏洞困擾。

若您使用的版本可能受這次兩個漏洞影響,能夠升級至今天發佈的如下三個最新Rancher版本:

  • Rancher 2.2.1

  • Rancher 2.1.8

  • Rancher 2.0.13

對於Rancher 1.6.x的用戶,咱們已在Rancher v1.6.26的Catalog(應用程序目錄)中添加了對Kubernetes v1.11.9和v1.12.7的支持。您能夠升級至Rancher v1.6.26,新版本將在下一次目錄自動刷新時可用。

爲用戶的Docker & K8S之旅護航

Rancher Kubernetes平臺擁有着超過一億次下載量,咱們深知安全問題對於用戶而言的重要性,更遑論那些經過Rancher平臺在生產環境中運行Docker及Kubernetes的數千萬用戶。

2018年年末Kubernetes被爆出的首個嚴重安全漏洞CVE-2018-1002105,就是由Rancher Labs聯合創始人及首席架構師Darren Shepherd發現的。

2019年1月Kubernetes被爆出儀表盤和外部IP代理安全漏洞CVE-2018-18264時,Rancher Labs也是第一時間向用戶響應,確保全部Rancher 2.x和1.6.x的用戶都徹底不被漏洞影響。

2019年2月爆出的嚴重的runc容器逃逸漏洞CVE-2019-5736,影響到大多數Docker與Kubernetes用戶,Rancher Kubernetes管理平臺和RancherOS操做系統均在不到一天時間內緊急更新,是業界第一個緊急發佈新版本支持Docker補丁版本的平臺,還幫忙將修復程序反向移植到全部版本的Docker並提供給用戶,且提供了連Docker官方都不支持的針對Linux 3.x內核的修復方案。

負責、可靠、快速響應、以用戶爲中心,是Rancher始終不變的初心;在每一次業界出現問題時,嚴謹踏實爲用戶提供相應的應對之策,也是Rancher一如既往的行事之道。將來,Rancher也將一如既往支持與守護在用戶的Kubernetes之路左右,確保全部企業用戶都能安全、穩妥、無虞地繼續前進。

相關文章
相關標籤/搜索