CVE-2019-1002100漏洞

美國(guó)當(dāng)?shù)貢r(shí)間2019年3月2日，Kubernetes社區(qū)發(fā)布了Kubernetes API server拒絕服務(wù)的漏洞（CVE-2019-1002100），即有API寫入權(quán)限的用戶在寫入資源時(shí)會(huì)導(dǎo)致Kubernetes API server過(guò)度消耗資源，此漏洞被評(píng)級(jí)為【中等嚴(yán)重性】。

創(chuàng)新互聯(lián)公司服務(wù)項(xiàng)目包括獲嘉網(wǎng)站建設(shè)、獲嘉網(wǎng)站制作、獲嘉網(wǎng)頁(yè)制作以及獲嘉網(wǎng)絡(luò)營(yíng)銷策劃等。多年來(lái)，我們專注于互聯(lián)網(wǎng)行業(yè)，利用自身積累的技術(shù)優(yōu)勢(shì)、行業(yè)經(jīng)驗(yàn)、深度合作伙伴關(guān)系等，向廣大中小型企業(yè)、政府機(jī)構(gòu)等提供互聯(lián)網(wǎng)行業(yè)的解決方案，獲嘉網(wǎng)站推廣取得了明顯的社會(huì)效益與經(jīng)濟(jì)效益。目前，我們服務(wù)的客戶以成都為中心已經(jīng)輻射到獲嘉省份的部分城市，未來(lái)相信會(huì)繼續(xù)擴(kuò)大服務(wù)區(qū)域并繼續(xù)獲得客戶的支持與信任！

 

此漏洞表現(xiàn)為用戶在向Kubernetes API server發(fā)送 json-patch規(guī)則的補(bǔ)丁包來(lái)更新資源對(duì)象時(shí)（例如kubectl patch xxx --type json 或者“Content-Type: application/json-patch+json”)，Kubernetes API server會(huì)消耗極大的資源，最終導(dǎo)致API server拒絕連接。

 

https://github.com/kubernetes/kubernetes/issues/74534

情景再現(xiàn)

一個(gè)json-patch的例子：

kubectl patch deployment test --type='json' -p '[{"op": "add", "path": "/metadata/labels/test", "value": "test"}，{"op": "add", "path": "/metadata/labels/app", "value": "test"} ,{…} ]'

當(dāng)我們向Kubernetes頻繁地發(fā)送多個(gè)json-patch請(qǐng)求來(lái)更新資源對(duì)象時(shí)，可以發(fā)現(xiàn)Kubernetes API server會(huì)消耗很多資源來(lái)處理我們的請(qǐng)求。

此時(shí)會(huì)有一部分資源的patch請(qǐng)求失敗，無(wú)法得到Kubernetes API server的響應(yīng)。

受此漏洞影響的Kubernetes API server的版本包括：

• v1.0.0 – 1.10.x

• v1.11.0 – 1.11.7

• v1.12.0 – 1.12.5

• v1.13.0 – 1.13.3

 

Kubernetes官方建議用戶在升級(jí)至修復(fù)版本之前，可針對(duì)此漏洞的采取的緩解措施為：

• 對(duì)不受信任用戶移除patch權(quán)限

漏洞修復(fù)

Kubernetes社區(qū)很快地修復(fù)了此漏洞，增加了對(duì)用戶json-patch操作數(shù)量的限制。

 

當(dāng)用戶對(duì)某一資源對(duì)象修改的 json-patch 內(nèi)容超過(guò)10000個(gè)操作時(shí)，Kubernetes API server會(huì)返回413（RequestEntityTooLarge）的錯(cuò)誤。

 

錯(cuò)誤信息如下：

Request entity too large: The allowed maximum operations in a JSON patch is 10000, got 10004

修復(fù)的Kubernetes版本包括：

• v1.11.8

• v1.12.6

• v1.13.4

Rancher已發(fā)布最新版本應(yīng)對(duì)此次漏洞

此次也一如既往，在Kubernetes自身爆出漏洞之后，Rancher Labs團(tuán)隊(duì)都第一時(shí)間響應(yīng)，保障使用Rancher平臺(tái)管理Kubernetes集群的用戶的安全。

 

如果你是使用Rancher平臺(tái)管理Kubernetes集群，不用擔(dān)心，Rancher已于今日發(fā)布了最新版本，支持包含漏洞修復(fù)的Kubernetes版本，保障所有Rancher用戶的Kubernetes集群不受此次漏洞困擾。

 

最新發(fā)布的Rancher版本為：

• v2.1.7（提供Kubernetes v1.11.8, v1.12.6, v1.13.4支持）

• v2.0.12（提供Kubernetes v1.11.8支持）

• 對(duì)于Rancher 1.6.x的用戶，可以在Rancher v1.6.26的Catalog中使用Kubernetes發(fā)布的修復(fù)版本 v1.11.8和v1.12.6

 

此次漏洞會(huì)影響的Kubernetes版本范圍較廣，建議中招的用戶盡快升級(jí)喲！

為用戶的Docker & K8S之旅護(hù)航

Rancher Kubernetes平臺(tái)擁有著超過(guò)一億次下載量，我們深知安全問(wèn)題對(duì)于用戶而言的重要性，更遑論那些通過(guò)Rancher平臺(tái)在生產(chǎn)環(huán)境中運(yùn)行Docker及Kubernetes的數(shù)千萬(wàn)用戶。

 

2018年年底Kubernetes被爆出的首個(gè)嚴(yán)重安全漏洞CVE-2018-1002105，就是由Rancher Labs聯(lián)合創(chuàng)始人及首席架構(gòu)師Darren Shepherd發(fā)現(xiàn)的。

 

2019年1月Kubernetes被爆出儀表盤和外部IP代理安全漏洞CVE-2018-18264時(shí)，Rancher Labs也是第一時(shí)間向用戶響應(yīng)，確保所有Rancher 2.x和1.6.x的用戶都完全不被漏洞影響。

 

2019年2月爆出的嚴(yán)重的runc容器逃逸漏洞CVE-2019-5736，影響到大多數(shù)Docker與Kubernetes用戶，Rancher Kubernetes管理平臺(tái)和RancherOS操作系統(tǒng)均在不到一天時(shí)間內(nèi)緊急更新，是業(yè)界第一個(gè)緊急發(fā)布新版本支持Docker補(bǔ)丁版本的平臺(tái)，還幫忙將修復(fù)程序反向移植到所有版本的Docker并提供給用戶，且提供了連Docker官方都不支持的針對(duì)Linux 3.x內(nèi)核的修復(fù)方案。

 

負(fù)責(zé)、可靠、快速響應(yīng)、以用戶為中心，是Rancher始終不變的初心；在每一次業(yè)界出現(xiàn)問(wèn)題時(shí)，嚴(yán)謹(jǐn)踏實(shí)為用戶提供相應(yīng)的應(yīng)對(duì)之策，也是Rancher一如既往的行事之道。未來(lái)，Rancher也將一如既往支持與守護(hù)在用戶的K8S之路左右，確保大家安全、穩(wěn)妥、無(wú)虞地繼續(xù)前進(jìn)??

當(dāng)前文章：K8S新安全漏洞的應(yīng)對(duì)之策：APIServer拒絕服務(wù)漏洞
當(dāng)前地址：http://aaarwkj.com/article32/ijposc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供微信小程序、虛擬主機(jī)、手機(jī)網(wǎng)站建設(shè)、關(guān)鍵詞優(yōu)化、外貿(mào)網(wǎng)站建設(shè)、網(wǎng)站設(shè)計(jì)公司

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)