开源容器编排系统 Kubernetes 修复严重的权限提升漏洞

聚焦源代码安全，网罗国内外最新资讯！

编译：360代码卫士团队

热门的开源容器编排系统Kubernetes中被曝一个严重的权限提升漏洞。Kubernetes允许用户自动部署、扩展和管理容器化应用程序。

谷歌软件工程师兼Kubernetes产品安全团队成员Jordan Liggitt表示，“通过一个特殊构造的请求，能够通过KubernetesAPI服务器连接至后端服务器的用户就能通过同样的连接直接向后端发送任意请求。”

这个安全漏洞影响版本1.0.x-1.9.x、1.10.0-1.10.10、1.11.0-1.11.4和1.12.0-1.12.2。补丁已通过发布新版本1.10.11、1.11.5、1.12.3和1.13.0-rc.1发布。虽然也存在一些缓解措施，但需要警醒的是，这些措施可能具有破坏性。

Red Hat公司的OpenShift产品也受影响。该公司发布博客文章，通过视频和多个安全公告说明了漏洞的影响。

“权限提升漏洞使得任何人都可在获得任意Kubernetes集群中运行的计算节点的完整的管理员权限。”Red Hat公司的Ashesh Badani表示，“这个问题很大。威胁者不仅能窃取敏感数据或注入恶意代码，还能在组织机构的防火墙内拿下产品应用程序及服务。”

Red Hat公司表示，虽然已经快速推出补丁，但不一定会得以应用，因为它可能会对生产系统带来负面影响。

虽然并未有证据表明该漏洞已被用于恶意攻击活动中，但Liggitt表示检测利用尝试并不容易。

他解释称，“因为越权请求是通过已建立的连接完成的，它们并不会出现在Kubernetes API服务器审计日志或服务器日志中。虽然请求确实会出现在kubelet或聚合的API服务器日志中，但通过Kubernets API服务器，无法和正确授权及代理的请求区分开。”