K8s爆嚴(yán)重安全漏洞？有何應(yīng)對措施與建議

Kubernetes最近爆出嚴(yán)重安全漏洞，影響幾乎目前所有的版本。實際影響究竟多大？老版本用戶是否必須升級？以下是華為云容器服務(wù)團隊對該漏洞的分析解讀。

Kubernetes爆出的嚴(yán)重安全漏洞：

***者通過構(gòu)造特殊請求，可以在一個普通權(quán)限的鏈接上提升權(quán)限，向被代理的后端服務(wù)器發(fā)送任意請求。

該問題影響了幾乎Kubernetes目前所有的版本，包括：

Kubernetes v1.0.x-1.9.x

Kubernetes v1.10.0-1.10.10 (fixed in v1.10.11)

Kubernetes v1.11.0-1.11.4 (fixed in v1.11.5)

Kubernetes v1.12.0-1.12.2 (fixed in v1.12.3)

什么樣的集群可能被***？

集群啟用了擴展API server，并且kube-apiserver與擴展API server的網(wǎng)絡(luò)直接連通；

集群對***者可見，即***者可以訪問到kube-apiserver的接口，如果你的集群是部署在安全的私網(wǎng)內(nèi)，那么不會有影響；

集群開放了 pod exec/attach/portforward 接口，則***者可以利用該漏洞獲得所有的kubelet API訪問權(quán)限。

再看具體影響的場景

集群使用了聚合API，只要kube-apiserver與聚合API server的網(wǎng)絡(luò)直接連通，***者就可以利用這個漏洞向聚合API服務(wù)器發(fā)送任何API請求；

如果集群開啟了匿名用戶訪問的權(quán)限，則匿名用戶也利用這個漏洞。不幸的是K8s默認(rèn)允許匿名訪問，即kube-apiserver的啟動參數(shù)”-- anonymous-auth=true”；

給予用戶Pod的exec/attach/portforward的權(quán)限，用戶也可以利用這個漏洞升級為集群管理員，可以對任意Pod做破壞操作；

該漏洞的更詳細討論，可見社區(qū)Issue：

https://github.com/kubernetes/kubernetes/issues/71411

應(yīng)對措施與建議

綜合以上分析，使用華為云CCE服務(wù)的小伙伴們不必過于擔(dān)心，因為：

CCE服務(wù)創(chuàng)建的集群默認(rèn)關(guān)閉匿名用戶訪問權(quán)限

CCE服務(wù)創(chuàng)建的集群沒有使用聚合API

如果，你開啟了RBAC權(quán)限，且給用戶分配了Pod的exec/attach/portforward權(quán)限，華為云CCE容器服務(wù)將于今晚完成所有現(xiàn)網(wǎng)1.11版本K8S集群的在線補丁修復(fù)，針對低于v1.10的集群（社區(qū)已不對其進行修復(fù)），本周我們也會提供補丁版本進行修復(fù)，請關(guān)注升級公告，及時修復(fù)漏洞。

Tips：如果你是自己搭建K8s集群，為提高集群的安全系數(shù)，建議如下，

一定要關(guān)閉匿名用戶訪問權(quán)限。

盡快升級到社區(qū)漏洞修復(fù)版本。合理配置RBAC，只給可信用戶Pod的

exec/attach/portforward權(quán)限.

如果你當(dāng)前使用的K8s版本低于v1.10，不在官方補丁支持范圍內(nèi)，建議自行回合補丁代碼 ：

https://github.com/kubernetes/kubernetes/pull/71412