才云容器云产品团队对 K8S 安全漏洞的声明

Kubernetes v1.0.x-1.9.x

Kubernetes v1.10.0-1.10.10 (fixed in v1.10.11)

Kubernetes v1.11.0-1.11.4 (fixed in v1.11.5)

Kubernetes v1.12.0-1.12.2 (fixed in v1.12.3)

影响组件:Kubernetes apiserver

其原理是,在有漏洞的 Kubernetes 版本中,攻击者可以通过制造 HTTP Upgrade 失败请求,来获取到后端服务(kubelet,aggregated API server)的未关闭连接。连接一旦建立成功,攻击者可以以管理员权限,向后端服务发送任意请求。

Kubernetes 安全建议方案[1]:

针对匿名用户通过一些安全设置限制提对应权限:

暂停使用聚合的 API 服务器(影响使用聚合服务器 API 的用户);

设置--anonymous-auth = false给kube-apiserver禁用匿名请求(可能会破坏 kube-apiserver 的负载均衡器或 kubelet 运行状况检查,并中断 kubeadm join 设置流程);

删除对所有聚合 API 的所有匿名访问;

对经过身份验证的用户删除对所有聚合 API 访问权限;

非特权 kubelet API 用户中删除pod exec/attach/ portforward权限;

漏洞对 Caicloud Compass 产品的影响

此次 Kubernetes 漏洞事件对 Caicloud Compass 的企业客户不会构成影响和威胁,原因如下:

在 Caicloud Compass 产品中,所有对集群 Apiserver 的访问,都经由 Caicloud Compass 的 API gateway 进行访问。恶意用户无法直接利用这个漏洞发起对后端服务的攻击。

同时,才云在即将发行的 Caicloud Compass 2.7.3 版本会使用没有此安全漏洞的 Kubernetes 版本(1.12.3)。对于在生产环境中已经使用 Caicloud Compass 的客户,才云亦可协助升级。

参考文献:

[1].https://github.com/kubernetes/kubernetes/issues/71411

END

Caicloud 公司简介

杭州才云科技有限公司(Caicloud)是国内唯一一家原生谷歌云服务商,提供新一代智能云计算平台和 AI 服务。Caicloud 独家研发基于 Kubernetes 的企业级容器集群智能云平台 Compass (获 CNCF KCSP 认证)和基于 TensorFlow 的人工智能云平台 Clever,并已在国内 500 强企业中落地,且在电商、金融、新零售、制造、运营商、教育、传统企业等行业均有成熟的解决方案。Caicloud 总部位于中国杭州,并在北京、上海设有分支机构。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20181207G1BPZ500?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券