【独家】K8S漏洞报告｜近期多个CVE漏洞解读

CNCF

发布于 2019-12-04 16:43:22

4K0

发布于 2019-12-04 16:43:22

文章被收录于专栏：CNCF

输

安全漏洞CVE-2019-11247/ CVE-2019-11248/ CVE-2019-11249分析

Kubernetes v1.15+ Bug Fix数据分析

——本期更新内容

安全漏洞CVE-2019-11247/ CVE-2019-11248/ CVE-2019-11249分析

近期Kubernetes社区通过Google Group频道Kubernetes developer/contributor discussion发布了与API Server，Kubectl以及Kubelet相关的三个安全漏洞。问题严重程度均被定义为中级。

CVE-2019-11247

该漏洞存在于API Server中，存在命名空间访问权限的用户，可以访问到集群范围的 CRD资源CR，版本1.7.x-1.12.x, 1.13.0-1.13.8, 1.14.0-1.14.4, 1.15.0-1.15.1均受影响，建议受影响的用户升级到对应的最新版本(1.13.9/1.14.5/1.15.2)。

CVE-2019-11247链接：

https://access.redhat.com/security/cve/cve-2019-11247

Kubernetes社区Issue链接：

https://github.com/kubernetes/kubernetes/issues/80983

Kubernetes社区PR链接：

【1.13.9】

https://github.com/kubernetes/kubernetes/pull/80852

【1.14.5】

https://github.com/kubernetes/kubernetes/pull/80851

【1.15.2】

https://github.com/kubernetes/kubernetes/pull/80850

CVE-2019-11248

该漏洞存在于Kubelet中，由于用于性能调试的“/debug/pprof“ 接口绑跟kubelet的健康检查端口“/healthz”绑定在一起，虽然“/debug/pprof”会进行安全认证，但“/healthz”接口是不认证鉴权的。所以，如果kubelet的healthz地址不是使用localhost，会存在泄露机器敏感信息的风险，社区建议先通过以下指令检查集群的配置情况确认是否存在风险(healthzBindAddress)。

kubectl get --raw /api/v1/nodes/${NODE_NAME}/proxy/configz

版本 1.12.0-1.12.9, 1.13.0-1.13.7, 1.14.0-1.14.3, 1.15.0均受此影响，用户可以通过更新node的配置或者升级到最新版本解决(1.12.10/1.13.8/1.14.4/1.15.0)。

CVE-2019-11248链接：

https://access.redhat.com/security/cve/cve-2019-11248

Kubernetes社区Issue链接：

https://github.com/kubernetes/kubernetes/issues/81023

Kubernetes社区PR链接：

【1.12.10】

https://github.com/kubernetes/kubernetes/pull/79184

【1.13.8】

https://github.com/kubernetes/kubernetes/pull/79183

【1.14.4】

https://github.com/kubernetes/kubernetes/pull/79182

【1.15.0】

https://github.com/kubernetes/kubernetes/pull/79313

CVE-2019-11249

该漏洞存在于Kubectl中，在使用 “kubectl cp”命令的时候，恶意用户可能将文件拷贝到目录文件夹之外的其他目录，版本1.0.x-1.12.x, 1.13.0-1.13.8, 1.14.0-1.14.4, 1.15.0-1.15.1受此影响，同样建议所有受影响的用户立即升级(1.13.9/1.14.5/1.15.2)。

CVE-2019-11249链接：

https://access.redhat.com/security/cve/cve-2019-11249

Kubernetes社区Issue链接：

https://github.com/kubernetes/kubernetes/issues/80984

Kubernetes社区PR链接：

【1.13.9】

https://github.com/kubernetes/kubernetes/pull/80871

【1.14.5】

https://github.com/kubernetes/kubernetes/pull/80870

【1.15.2】

https://github.com/kubernetes/kubernetes/pull/80869

Kubernetes v1.15+ Bug Fix数据分析