Kubernetes新近kubectl及CNI漏洞修復，Rancher 2.2.1發佈

今天，Kubernetes發佈了一系列補丁版本，修復新近發現的兩個安全漏洞CVE-2019-1002101（kubectl cp命令安全漏洞）和CVE-2019-9946（CNI端口映射插件漏洞）。Rancher也緊急更新，發佈一系列新版以支持Kubernetes補丁版本。

本文將介紹CVE-2019-1002101和CVE-2019-9946的詳情、原理、受影響版本及升級建議，以及Rancher提供給用戶的應對之策。

CVE-2019-1002101

漏洞詳情及原理

CVE-2019-1002101是kubectl cp命令中存在的安全漏洞，嚴重等級爲【高】，攻擊者可使用kubectl cp命令替換或刪除用戶工做站上的文件，在用戶計算機的任何路徑上寫入惡意文件。

kubectl cp命令容許在容器和用戶計算機之間複製文件。爲了從容器中複製文件，Kubernetes會在容器內建立一個tar，經過網絡複製它，而後kubectl會在用戶的機器上解壓縮它。

而若是容器中的tar二進制文件是惡意的，它能夠運行任何代碼並輸出意外的惡意結果。在用戶調用kubectl cp時，攻擊者可使用它將文件寫入用戶計算機上的任何路徑，只有本地用戶的系統權限有可能限制這一操做。

受影響的版本及升級建議

什麼版本用戶會被這次漏洞影響？試着運行kubectl version—client進行查看，除了1.11.九、1.12.七、1.13.五、1.14.0或更新版本以外，其餘均爲易受攻擊的版本。

全部使用易受攻擊版本的用戶，都被建議升級至Kubernetes今天發佈的補丁版本：1.11.九、1.12.七、1.13.五、1.14.0。

kubectl的安裝和設置方法，能夠參照這一連接的說明教程：

https://kubernetes.io/docs/tasks/tools/install-kubectl/

CVE-2019-9946

漏洞詳情及原理

CVE-2019-9946是Kubernetes CNI框架中的安全漏洞，0.7.5以前版本的CNI插件端口映射和Kubernetes之間的交互中發現了安全問題，嚴重等級爲【中等】。由於CNI 端口映射插件是嵌入到Kubernetes版本中的，只有升級至新版本的Kubernetes才能解決此問題。

在此修復以前，當咱們配置HostPorts端口映射方式時CNI插件會在iptables nat鏈以前插入規則，這將優先於KUBE- SERVICES鏈。所以，傳入流量時，流量會優先通過HostPort的規則，即便以後在鏈中出現了更適合、更具體的服務定義規則（例如NodePorts），依然會由HostPort 的規則來匹配傳入的流量。

如今修復以後，將端口映射插件的規則由「最優先」變爲「附加」，則可讓流量優先由KUBE-SERVICES規則處理。只有當流量與服務不匹配時，纔會考慮使用HostPorts。

受影響的版本及升級建議

由於這會影響插件界面，所以若是你不徹底瞭解本身的Kubernetes配置，很難肯定本身是否會受此漏洞影響。IPVS模式下的kube-proxy配置加上使用HostPort端口映射類型的pod，是確定會被這一漏洞影響的。但一樣須要注意的是，其餘網絡配置方式也有可能使用了CNI 的portmap端口映射插件。

運行kubectl version --short | grep Server，若是它顯示你使用的不是1.11.九、1.12.七、1.13.5和1.14.0或更新的版本，且若是你的Kubernetes與使用了端口映射插件的CNI配置配對，那麼你極有可能會受這一漏洞影響。

但無需特別擔憂的是，只需按照管理工具或供應商的說明，升級到最新補丁版本的Kubernetes（1.11.九、1.12.七、1.13.5和1.14.0）便可。

Rancher已發佈最新版本應對這次漏洞

這次也一如既往，在Kubernetes自身爆出漏洞以後，Rancher Labs團隊都第一時間響應，保障使用Rancher平臺管理Kubernetes集羣的用戶的安全。

若是你是使用Rancher平臺管理Kubernetes集羣，不用擔憂，Rancher已於今日發佈了最新版本，支持包含漏洞修復的Kubernetes版本（1.11.九、1.12.7和1.13.5），保障全部Rancher用戶的Kubernetes集羣不受這次漏洞困擾。

若您使用的版本可能受這次兩個漏洞影響，能夠升級至今天發佈的如下三個最新Rancher版本：

• Rancher 2.2.1

• Rancher 2.1.8

• Rancher 2.0.13

對於Rancher 1.6.x的用戶，咱們已在Rancher v1.6.26的Catalog（應用程序目錄）中添加了對Kubernetes v1.11.9和v1.12.7的支持。您能夠升級至Rancher v1.6.26，新版本將在下一次目錄自動刷新時可用。

爲用戶的Docker & K8S之旅護航

Rancher Kubernetes平臺擁有着超過一億次下載量，咱們深知安全問題對於用戶而言的重要性，更遑論那些經過Rancher平臺在生產環境中運行Docker及Kubernetes的數千萬用戶。

2018年年末Kubernetes被爆出的首個嚴重安全漏洞CVE-2018-1002105，就是由Rancher Labs聯合創始人及首席架構師Darren Shepherd發現的。

2019年1月Kubernetes被爆出儀表盤和外部IP代理安全漏洞CVE-2018-18264時，Rancher Labs也是第一時間向用戶響應，確保全部Rancher 2.x和1.6.x的用戶都徹底不被漏洞影響。

2019年2月爆出的嚴重的runc容器逃逸漏洞CVE-2019-5736，影響到大多數Docker與Kubernetes用戶，Rancher Kubernetes管理平臺和RancherOS操做系統均在不到一天時間內緊急更新，是業界第一個緊急發佈新版本支持Docker補丁版本的平臺，還幫忙將修復程序反向移植到全部版本的Docker並提供給用戶，且提供了連Docker官方都不支持的針對Linux 3.x內核的修復方案。

負責、可靠、快速響應、以用戶爲中心，是Rancher始終不變的初心；在每一次業界出現問題時，嚴謹踏實爲用戶提供相應的應對之策，也是Rancher一如既往的行事之道。將來，Rancher也將一如既往支持與守護在用戶的Kubernetes之路左右，確保全部企業用戶都能安全、穩妥、無虞地繼續前進。