Kubernetes Kubectl CLI 工具曝出“高危”安全漏洞

作者:   深圳市网安计算机安全检测技术有限公司 2019/04/02 10:08:05 191次阅读 国际
文章来源:https://new.qq.com/omn/20190330/20190330A0HBBQ00

       Kubernetes社区在Kubernetes平台的一个组件中发现了一个“高危”安全漏洞,可能会删掉用户工作站上的文件。就在曝出这个最新的安全问题之前,最新版Kubernetes刚刚发布,该平台去年年底传出了第一个重大的安全漏洞。

       Kubectl是一个命令行接口(CLI),用于针对Kubernetes集群运行命令。它基本上允许在容器和用户的机器之间拷贝文件。

       Twistlock的安全研究人员Ariel Zelivansky本月早些时候发现了这个最新的安全问题。他解释道,新漏洞与去年发布的一个补丁有关。

alt

       广大开发人员被要求将kubectl版本更新到Kubernetes 1.11.9、1.12.7、1.13.5和1.14.0以解决该问题。大多数主要的Kubernetes发行版也向托管平台发送了更新版。

       Aqua Security公司的产品营销副总裁Rani Osnat特别指出,最新的这个漏洞不如“披露的另一些CVE来得严重,因为要钻它的空子相当困难,需要在集群内部使用非授权容器。”他补充道,Kubernetes用户应“记得只使用可信任的映像,使用[Center for Internet Security Kubernetes]基准测试等最佳实践,并监控集群,查找是否存在任何可疑行为。”

       kubectl安全更新包含在一年前发布的Kubernetes 1.10版本中,它通过外部kubectl凭据提供者(external kubectl credential providers)提供了扩展点。这让云提供商、供应商和开发人员得以发布为特定的云提供商身份和访问管理(IAM)服务处理身份验证的二进制插件。

过去的版本

       Aaron Crickenberger是最新Kubernetes更新的发布负责人,他在发给IT外媒SDxCentral的电子邮件中特别指出,Kubernetes社区并不认为安全与特定的更新有关,而是“需要不断加以评估和改进。”

       Crickenberger解释:“这个版本包含了众多修正版和安全修复程序――与任何Kubernetes版本一样,但很少与这个RBAC变更一样被用户容易看见。”他确实补充道,正在通过去年成立的安全审计工作组开展更深入的工作。

       去年12月发布的Kubernetes 1.13因发现一个“危急”漏洞而导致形象受损,该漏洞使黑客对于在Kubernetes集群中运行的任何计算节点拥有全面的管理权限。该漏洞由Rancher Labs的软件工程师发现,在通用漏洞评分系统(CVSS)中获得了9.8分(危急,最高分是10分)的评分。

       Osnat表示,Kubernetes是个“复杂的系统,必然会有漏洞。CVE披露变得越来越常见,这是件好事,事实上它们不是很严重。”


指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室