输
安全漏洞CVE-2019-11247/ CVE-2019-11248/ CVE-2019-11249分析
Kubernetes v1.15+ Bug Fix数据分析
——本期更新内容
1
安全漏洞CVE-2019-11247/ CVE-2019-11248/ CVE-2019-11249分析
近期Kubernetes社区通过Google Group频道Kubernetes developer/contributor discussion发布了与API Server,Kubectl以及Kubelet相关的三个安全漏洞。问题严重程度均被定义为中级。
CVE-2019-11247
该漏洞存在于API Server中,存在命名空间访问权限的用户,可以访问到集群范围的 CRD资源CR, 版本1.7.x-1.12.x, 1.13.0-1.13.8, 1.14.0-1.14.4, 1.15.0-1.15.1均受影响,建议受影响的用户升级到对应的最新版本(1.13.9/1.14.5/1.15.2)。
CVE-2019-11247链接:
https://access.redhat.com/security/cve/cve-2019-11247
Kubernetes社区Issue链接:
https://github.com/kubernetes/kubernetes/issues/80983
Kubernetes社区PR链接:
【1.13.9】
https://github.com/kubernetes/kubernetes/pull/80852
【1.14.5】
https://github.com/kubernetes/kubernetes/pull/80851
【1.15.2】
https://github.com/kubernetes/kubernetes/pull/80850
CVE-2019-11248
该漏洞存在于Kubelet中,由于用于性能调试的“/debug/pprof“ 接口绑跟kubelet的健康检查端口“/healthz”绑定在一起,虽然“/debug/pprof”会进行安全认证,但“/healthz”接口是不认证鉴权的。所以,如果kubelet的healthz地址不是使用localhost,会存在泄露机器敏感信息的风险, 社区建议先通过以下指令检查集群的配置情况确认是否存在风险(healthzBindAddress)。
kubectl get --raw /api/v1/nodes/${NODE_NAME}/proxy/configz
版本 1.12.0-1.12.9, 1.13.0-1.13.7, 1.14.0-1.14.3, 1.15.0均受此影响,用户可以通过更新node的配置或者升级到最新版本解决(1.12.10/1.13.8/1.14.4/1.15.0)。
CVE-2019-11248链接:
https://access.redhat.com/security/cve/cve-2019-11248
Kubernetes社区Issue链接:
https://github.com/kubernetes/kubernetes/issues/81023
Kubernetes社区PR链接:
【1.12.10】
https://github.com/kubernetes/kubernetes/pull/79184
【1.13.8】
https://github.com/kubernetes/kubernetes/pull/79183
【1.14.4】
https://github.com/kubernetes/kubernetes/pull/79182
【1.15.0】
https://github.com/kubernetes/kubernetes/pull/79313
CVE-2019-11249
该漏洞存在于Kubectl中,在使用 “kubectl cp”命令的时候,恶意用户可能将文件拷贝到目录文件夹之外的其他目录,版本1.0.x-1.12.x, 1.13.0-1.13.8, 1.14.0-1.14.4, 1.15.0-1.15.1受此影响,同样建议所有受影响的用户立即升级(1.13.9/1.14.5/1.15.2)。
CVE-2019-11249链接:
https://access.redhat.com/security/cve/cve-2019-11249
Kubernetes社区Issue链接:
https://github.com/kubernetes/kubernetes/issues/80984
Kubernetes社区PR链接:
【1.13.9】
https://github.com/kubernetes/kubernetes/pull/80871
【1.14.5】
https://github.com/kubernetes/kubernetes/pull/80870
【1.15.2】
https://github.com/kubernetes/kubernetes/pull/80869
1
Kubernetes v1.15+ Bug Fix数据分析
Bug数量共计18个,分类数量和占比统计如下:
严重程度数量统计如下(横坐标5为最高,0为最低):
如下为Kubernetes v1.15+ Bug Fix的汇总信息:
云原生服务网格
华为云原生团队编写的《云原生服务网格Istio》,已经上架京东图书预售。本书分为原理篇、实践篇、架构篇和源码篇,由浅入深地将Istio项目庖丁解牛并呈现给读者。