Kubernetes Kubectl曝安全漏洞，Rancher產品不受影響

北京時間9月19日，Kubernetes發佈了一個編號爲CVE-2019-11251的漏洞，該漏洞被標記爲中等安全問題。其影響的Kubernetes版本爲v1.13.十、v1.14.6和v1.15.3。通過分析，Rancher安全風險評估團隊認爲，這次Kubernetes CVE不會影響Rancher產品的安全問題，所以無需當即發佈2.1.x和2.2.x版本，且咱們將在下一個季度的第一個維護版本中升級Rancher UI中使用的kubectl版本。

CVE-2019-11251

若是您沒法肯定本身使用的版本是否受到安全漏洞的影響，您能夠運行kubectl version –client這一命令，若是它返回的Kubernetes版本爲v1.13.十、v1.14.6 和 v1.15.3，那麼建議您儘快升級，詳情參閱：

https://kubernetes.io/docs/tasks/tools/install-kubectl/

漏洞詳情

這一漏洞和CVE-2019-1002101以及CVE-2019-11246十分相似。該漏洞容許兩個symlink的組合將文件複製到其目標目錄以外。這使得攻擊者可使用目標樹以外的symlink放置netfarious文件。

在Kubernetes 1.16中，經過移除在kubectl cp中對symlink的支持修復了這一問題。官方建議你使用exec命令行和tar包組合做爲替代。詳情請參閱：

https://github.com/kubernetes/kubernetes/pull/82143

根據這一安全漏洞，還有另外一種修復方式：改變kubectl cp un-tar symlink的邏輯，經過解壓縮全部常規文件以後解壓縮symlink。這樣能夠保證沒法經過symlink寫入文件。這一修復方式在v1.15.四、v1.14.7和v1.13.11中更新。

Kubernetes 1.16發佈

美國時間9月18日Kubernetes發佈了2019年的第三個新版本1.16。這一版本由31個加強功能組成：8個stable、8個beta、15個alpha。這一版本更新主要圍繞如下4個方面：

1. Custom resources：CRD是Kubernetes擴展的輕量級機制，保證新類型資源的使用。在1.16版本中，CRD正式GA。
2. Admission webhooks：Admission webhook是Kubernetes的擴展機制，在1.9版本已經可使用beta版本，在1.16中，Admission webhook也正式GA。
3. Overhauled metrics：以前Kubernetes已普遍使用全局metrics registry來註冊要公開的metrics。經過實現metrics registry，metrics能夠以一種更爲透明的方式註冊。而在這以前，Kubernetes metrics 被排除在任何穩定性需求以外。
4. Volume Extension：在本次更新中有大量關於volume和volume修改相關的加強。CSI 規範中對 Volume 調整的支持正在轉向 Beta 版本，它容許任何 CSI spec Volume 插件均可以調整大小。

更多新版本詳情，請參閱：

https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG-1.16.md#v1160

Rancher的應對之策

Rancher安全風險評估團隊通過分析後確認，這次Kubernetes CVE不會影響Rancher產品的安全問題，所以Rancher團隊不會當即發佈新的2.1.x和2.2.x修復版本，但在下季度計劃發佈的第一個維護版本中將升級Rancher UI中使用的kubectl版本。

用戶將文件從容器複製到主機時，上游CVE會影響kubectl cp命令，進而會致使主機容許兩個symlink將文件複製到目標目錄以外。可是這一場景與Rancher UI中使用的kubectl無關，由於每一個kubectl會話僅啓動臨時數據存儲，該數據存儲在會話關閉時消失。

這次CVE不會對Rancher產品自身的安全性形成影響，理論上亦不屬於Rancher產品支持範圍，不過Rancher團隊依然建議Rancher 2.x用戶升級本身本地的kubectl版本，且Rancher也會在下季度計劃發佈的第一個維護版本中升級Rancher UI中使用的kubectl版本。

對於Rancher的企業級訂閱客戶，若是您對K8S這一CVE有任何疑慮、想要獲取更多安全問題諮詢或者升級指南，均可以聯繫Rancher Support Team獲取技術支持。