中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

K8S新安全漏洞的應對之策:API Server拒絕服務漏洞

發布時間:2020-06-11 05:30:13 來源:網絡 閱讀:426 作者:RancherLabs 欄目:云計算

CVE-2019-1002100漏洞

美國當地時間2019年3月2日,Kubernetes社區發布了Kubernetes API server拒絕服務的漏洞(CVE-2019-1002100),即有API寫入權限的用戶在寫入資源時會導致Kubernetes API server過度消耗資源,此漏洞被評級為【中等嚴重性】。

 

此漏洞表現為用戶在向Kubernetes API server發送 json-patch規則的補丁包來更新資源對象時(例如kubectl patch xxx --type json 或者“Content-Type: application/json-patch+json”),Kubernetes API server會消耗極大的資源,最終導致API server拒絕連接。

 

https://github.com/kubernetes/kubernetes/issues/74534

情景再現

一個json-patch的例子:

kubectl patch deployment test --type='json' -p '[{"op": "add", "path": "/metadata/labels/test", "value": "test"},{"op": "add", "path": "/metadata/labels/app", "value": "test"} ,{…} ]'

當我們向Kubernetes頻繁地發送多個json-patch請求來更新資源對象時,可以發現Kubernetes API server會消耗很多資源來處理我們的請求。

K8S新安全漏洞的應對之策:API Server拒絕服務漏洞

此時會有一部分資源的patch請求失敗,無法得到Kubernetes API server的響應。

K8S新安全漏洞的應對之策:API Server拒絕服務漏洞

受此漏洞影響的Kubernetes API server的版本包括:

  • v1.0.0 – 1.10.x

  • v1.11.0 – 1.11.7

  • v1.12.0 – 1.12.5

  • v1.13.0 – 1.13.3

 

Kubernetes官方建議用戶在升級至修復版本之前,可針對此漏洞的采取的緩解措施為:

  • 對不受信任用戶移除patch權限

漏洞修復

Kubernetes社區很快地修復了此漏洞,增加了對用戶json-patch操作數量的限制。

 

當用戶對某一資源對象修改的 json-patch 內容超過10000個操作時,Kubernetes API server會返回413(RequestEntityTooLarge)的錯誤。

 

錯誤信息如下:

Request entity too large: The allowed maximum operations in a JSON patch is 10000, got 10004

修復的Kubernetes版本包括:

  • v1.11.8

  • v1.12.6

  • v1.13.4

Rancher已發布最新版本應對此次漏洞

此次也一如既往,在Kubernetes自身爆出漏洞之后,Rancher Labs團隊都第一時間響應,保障使用Rancher平臺管理Kubernetes集群的用戶的安全。

 

如果你是使用Rancher平臺管理Kubernetes集群,不用擔心,Rancher已于今日發布了最新版本,支持包含漏洞修復的Kubernetes版本,保障所有Rancher用戶的Kubernetes集群不受此次漏洞困擾。

 

最新發布的Rancher版本為:

  • v2.1.7(提供Kubernetes v1.11.8, v1.12.6, v1.13.4支持)

  • v2.0.12(提供Kubernetes v1.11.8支持)

  • 對于Rancher 1.6.x的用戶,可以在Rancher v1.6.26的Catalog中使用Kubernetes發布的修復版本 v1.11.8和v1.12.6

 

此次漏洞會影響的Kubernetes版本范圍較廣,建議中招的用戶盡快升級喲!

為用戶的Docker & K8S之旅護航

Rancher Kubernetes平臺擁有著超過一億次下載量,我們深知安全問題對于用戶而言的重要性,更遑論那些通過Rancher平臺在生產環境中運行Docker及Kubernetes的數千萬用戶。

 

2018年年底Kubernetes被爆出的首個嚴重安全漏洞CVE-2018-1002105,就是由Rancher Labs聯合創始人及首席架構師Darren Shepherd發現的。

 

2019年1月Kubernetes被爆出儀表盤和外部IP代理安全漏洞CVE-2018-18264時,Rancher Labs也是第一時間向用戶響應,確保所有Rancher 2.x和1.6.x的用戶都完全不被漏洞影響。

 

2019年2月爆出的嚴重的runc容器逃逸漏洞CVE-2019-5736,影響到大多數Docker與Kubernetes用戶,Rancher Kubernetes管理平臺和RancherOS操作系統均在不到一天時間內緊急更新,是業界第一個緊急發布新版本支持Docker補丁版本的平臺,還幫忙將修復程序反向移植到所有版本的Docker并提供給用戶,且提供了連Docker官方都不支持的針對Linux 3.x內核的修復方案。

 

負責、可靠、快速響應、以用戶為中心,是Rancher始終不變的初心;在每一次業界出現問題時,嚴謹踏實為用戶提供相應的應對之策,也是Rancher一如既往的行事之道。未來,Rancher也將一如既往支持與守護在用戶的K8S之路左右,確保大家安全、穩妥、無虞地繼續前進??


向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

咸阳市| 盖州市| 阿坝| 清丰县| 澄江县| 安陆市| 金川县| 长垣县| 满洲里市| 健康| 忻城县| 三河市| 南阳市| 武城县| 平利县| 手机| 远安县| 宿松县| 壤塘县| 呼伦贝尔市| 大石桥市| 安仁县| 赤水市| 江川县| 四川省| 松滋市| 永顺县| 民权县| 巴彦县| 日土县| 株洲县| 长汀县| 永和县| 辽阳县| 若羌县| 南华县| 甘孜| 巴青县| 仲巴县| 汝南县| 定日县|