中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

Kubernetes新近kubectl及CNI漏洞修復,Rancher 2.2.1發布

發布時間:2020-07-14 07:11:13 來源:網絡 閱讀:439 作者:RancherLabs 欄目:云計算

今天,Kubernetes發布了一系列補丁版本,修復新近發現的兩個安全漏洞CVE-2019-1002101(kubectl cp命令安全漏洞)和CVE-2019-9946(CNI端口映射插件漏洞)。Rancher也緊急更新,發布一系列新版以支持Kubernetes補丁版本。

 

本文將介紹CVE-2019-1002101和CVE-2019-9946的詳情、原理、受影響版本及升級建議,以及Rancher提供給用戶的應對之策。


CVE-2019-1002101


漏洞詳情及原理

CVE-2019-1002101是kubectl cp命令中存在的安全漏洞,嚴重等級為【高】,***者可以使用kubectl cp命令替換或刪除用戶工作站上的文件,在用戶計算機的任何路徑上寫入惡意文件。

 

kubectl cp命令允許在容器和用戶計算機之間復制文件。為了從容器中復制文件,Kubernetes會在容器內創建一個tar,通過網絡復制它,然后kubectl會在用戶的機器上解壓縮它。

 

而如果容器中的tar二進制文件是惡意的,它可以運行任何代碼并輸出意外的惡意結果。在用戶調用kubectl cp時,***者可以使用它將文件寫入用戶計算機上的任何路徑,只有本地用戶的系統權限有可能限制這一操作。

受影響的版本及升級建議

什么版本用戶會被此次漏洞影響?試著運行kubectl version—client進行查看,除了1.11.9、1.12.7、1.13.5、1.14.0或更新版本之外,其他均為易受***的版本。

 

所有使用易受***版本的用戶,都被建議升級至Kubernetes今天發布的補丁版本:1.11.9、1.12.7、1.13.5、1.14.0。

 

kubectl的安裝和設置方法,可以參照這一鏈接的說明教程:

https://kubernetes.io/docs/tasks/tools/install-kubectl/

 


CVE-2019-9946


漏洞詳情及原理

CVE-2019-9946是Kubernetes CNI框架中的安全漏洞,0.7.5之前版本的CNI插件端口映射和Kubernetes之間的交互中發現了安全問題,嚴重等級為【中等】。因為CNI 端口映射插件是嵌入到Kubernetes版本中的,只有升級至新版本的Kubernetes才能解決此問題。

在此修復之前,當我們配置HostPorts端口映射方式時CNI插件會在iptables nat鏈之前插入規則,這將優先于KUBE- SERVICES鏈。因此,傳入流量時,流量會優先經過HostPort的規則,即使之后在鏈中出現了更適合、更具體的服務定義規則(例如NodePorts),依然會由HostPort 的規則來匹配傳入的流量。

現在修復之后,將端口映射插件的規則由“最優先”變為“附加”,則可以讓流量優先由KUBE-SERVICES規則處理。只有當流量與服務不匹配時,才會考慮使用HostPorts。

受影響的版本及升級建議

因為這會影響插件界面,因此如果你不完全了解自己的Kubernetes配置,很難確定自己是否會受此漏洞影響。IPVS模式下的kube-proxy配置加上使用HostPort端口映射類型的pod,是肯定會被這一漏洞影響的。但同樣需要注意的是,其他網絡配置方式也有可能使用了CNI 的portmap端口映射插件。

運行kubectl version --short | grep Server,如果它顯示你使用的不是1.11.9、1.12.7、1.13.5和1.14.0或更新的版本,且如果你的Kubernetes與使用了端口映射插件的CNI配置配對,那么你極有可能會受這一漏洞影響。

但無需特別擔心的是,只需按照管理工具或供應商的說明,升級到最新補丁版本的Kubernetes(1.11.9、1.12.7、1.13.5和1.14.0)即可。

Kubernetes新近kubectl及CNI漏洞修復,Rancher 2.2.1發布


Rancher已發布最新版本應對此次漏洞


此次也一如既往,在Kubernetes自身爆出漏洞之后,Rancher Labs團隊都第一時間響應,保障使用Rancher平臺管理Kubernetes集群的用戶的安全。

 

如果你是使用Rancher平臺管理Kubernetes集群,不用擔心,Rancher已于今日發布了最新版本,支持包含漏洞修復的Kubernetes版本(1.11.9、1.12.7和1.13.5),保障所有Rancher用戶的Kubernetes集群不受此次漏洞困擾。

 

若您使用的版本可能受此次兩個漏洞影響,可以升級至今天發布的以下三個最新Rancher版本:

  • Rancher 2.2.1

  • Rancher 2.1.8

  • Rancher 2.0.13

 

對于Rancher 1.6.x的用戶,我們已在Rancher v1.6.26的Catalog(應用程序目錄)中添加了對Kubernetes v1.11.9和v1.12.7的支持。您可以升級至Rancher v1.6.26,新版本將在下一次目錄自動刷新時可用。

 


為用戶的Docker & K8S之旅護航


Rancher Kubernetes平臺擁有著超過一億次下載量,我們深知安全問題對于用戶而言的重要性,更遑論那些通過Rancher平臺在生產環境中運行Docker及Kubernetes的數千萬用戶。

 

2018年年底Kubernetes被爆出的首個嚴重安全漏洞CVE-2018-1002105,就是由Rancher Labs聯合創始人及首席架構師Darren Shepherd發現的。

 

2019年1月Kubernetes被爆出儀表盤和外部IP代理安全漏洞CVE-2018-18264時,Rancher Labs也是第一時間向用戶響應,確保所有Rancher 2.x和1.6.x的用戶都完全不被漏洞影響。

 

2019年2月爆出的嚴重的runc容器逃逸漏洞CVE-2019-5736,影響到大多數Docker與Kubernetes用戶,Rancher Kubernetes管理平臺和RancherOS操作系統均在不到一天時間內緊急更新,是業界第一個緊急發布新版本支持Docker補丁版本的平臺,還幫忙將修復程序反向移植到所有版本的Docker并提供給用戶,且提供了連Docker官方都不支持的針對Linux 3.x內核的修復方案。

 

負責、可靠、快速響應、以用戶為中心,是Rancher始終不變的初心;在每一次業界出現問題時,嚴謹踏實為用戶提供相應的應對之策,也是Rancher一如既往的行事之道。未來,Rancher也將一如既往支持與守護在用戶的Kubernetes之路左右,確保所有企業用戶都能安全、穩妥、無虞地繼續前進。


向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

福州市| 江油市| 高唐县| 澎湖县| 三门县| 新民市| 长泰县| 平邑县| 龙江县| 满城县| 乌什县| 泸定县| 屏南县| 鹿邑县| 石景山区| 华池县| 五峰| 淮南市| 明星| 玛多县| 宁都县| 噶尔县| 新密市| 昂仁县| 高邑县| 建昌县| 资阳市| 郎溪县| 鲁山县| 弥勒县| 沽源县| 苏尼特右旗| 蕲春县| 施甸县| 商水县| 邓州市| 治县。| 浦东新区| 瑞安市| 宁海县| 平罗县|