阿里云容器服務Kubernetes 已修復漏洞CVE-2018-1002105,本文介紹該漏洞的影響及解決方法。
背景信息
Kubernetes社區發現安全漏洞:CVE-2018-1002105。Kubernetes用戶可通過偽造請求,在已建立的API Server連接上提升權限訪問后端服務,目前阿里云容器服務Kubernetes已修復此漏洞,請登錄容器服務管理控制臺升級您的Kubernetes版本。
漏洞CVE-2018-1002105詳細信息,請參見CVE-2018-1002105。
影響版本
Kubernetes v1.0.x-1.9.x
Kubernetes v1.10.0-1.10.10 (fixed in v1.10.11)
Kubernetes v1.11.0-1.11.4 (fixed in v1.11.5)
Kubernetes v1.12.0-1.12.2 (fixed in v1.12.3)
影響配置
容器服務Kubernetes集群啟用了擴展API Server,并且kube-apiserver與擴展API Server的網絡直接連通。
容器服務Kubernetes集群開放了 pod exec/attach/portforward 接口,用戶可以利用該漏洞獲得所有的kubelet API訪問權限。
阿里云容器服務Kubernetes集群配置
阿里云容器服務Kubernetes集群的API Server默認開啟了RBAC,通過主賬號授權管理默認禁止了匿名用戶訪問。同時Kubelet 啟動參數為
anonymous-auth=false,提供了安全訪問控制,防止外部入侵。對于使用子賬號的多租戶容器服務Kubernetes集群用戶,子賬號可能通過pod exec/attach/portforward 接口越權訪問。如果集群只有管理員用戶,則無需過度擔心。
子賬號在不經過主賬號自定義授權的情況下默認不具有聚合API資源的訪問權限。
解決方法
請登錄容器服務管理控制臺,升級您的集群,升級的注意事項及具體的操作步驟,請參見升級ACK集群。
如果您的集群版本為1.11.2請升級到1.11.5。
如果您的集群版本為1.10.4請升級到1.10.11或1.11.5版本。
如果您的集群版本為1.9及以下版本,請升級到1.10.11或1.11.5版本。在1.9版本升級1.10或1.11版本時,如集群使用了云盤數據卷,需在控制臺先升級flexvolume插件。
說明在容器服務管理控制臺上,選擇目標集群,單擊導航欄,在系統組件升級頁面,選擇flexvolume組件,單擊升級。
由于ASK在此漏洞發生前已進行加固,用戶不受影響。