k8s近期漏洞詳解
kubernetes儀錶盤漏洞(cve-2018-18264)
因為這一漏洞,使用者可以「跳過」登入過程獲得儀錶盤所使用的自定義tls證書。如果您已將kubernetes儀錶盤配置為需要登入並將其配置為使用自定義tls證書,那麼這一漏洞會影響到您。
具體來說,該漏洞的運作原理是:
首先,因為登陸時使用者可以選擇「跳過」這一選項,那麼任何使用者都可以繞過登入過程,該過程在v1.10.0或更早版本中始終預設啟用。這樣一來,使用者就完全跳過登入過程並能使用儀錶盤配置的服務賬戶。
之後,使用儀錶盤配置的服務賬戶,必須最低限度地有許可權訪問自定義tls證書(以secret的形式儲存)。未經身份驗證的登入,加上儀表板使用配置的服務賬戶來檢索這些secret的能力,組合在一起的結果就是這一安全問題。
社群已經在儀錶盤v1.10.1對這個漏洞進行了修復,預設情況下將不再啟用「跳過」選項,並且會禁用儀錶盤在ui中檢索和顯示它的功能。
參考鏈結:
issue:
修復pr:
漏洞描述:
kubernetes api伺服器外部ip位址**漏洞
kubernetes api server可以使用pod、node或service**api,將請求**的pod或節點上,通過修改podip或nodeip,可以將**請求定向到任何ip。api server總是被部署在某網路中的,利用這個漏洞就訪問該網路中的任何可用ip了。
該漏洞的具體運作原理是:
通過使用kubernetes api,使用者可以使用節點**、pod**或服務**api請求與pod或節點的連線。kubernetes接受此請求,找到podip或nodeip的關聯ip,並最終將該請求**到該ip。這些ip通常由kubernetes自動分配。但是,集群管理員(或具有類似「超級使用者」許可權的不同角色)可以更新資源的podip或nodeip欄位以指向任意ip。
這在很大程度上不是問題,因為「普通」使用者無法更改資源的podip或nodeip。podip和nodeip欄位位於pod和節點資源的狀態子資源中。為了更新狀態子資源,必須專門授予rbac規則。預設情況下,除了集群管理員和內部kubernetes元件(例如kubelet、controller-manager、scheduler)之外,沒有kubernetes角色可以訪問狀態子資源。想要利用此漏洞,首先得擁有對集群的高階別訪問許可權。
但是在一些特殊場景下,比如雲提供商為使用者提供的kubernetes集群,api server可能和集群執行在不同的平面,集
kubernetes-csi(container storage inte***ce)是kubernetes提供的一種容器儲存介面,kubernetes可以與街上上執行的外部csi卷驅動程式互動,從而可以將任意儲存系統暴露給自己的容器工作負載。
根據我們介紹的這個漏洞,借點上執行的kubernetes-csi sidecars,當日誌級別提高到5或者更高時,會列印所有csi rpc請求和響應的資訊,其中包括請求過程中使用的secret的詳細資訊。這顯然是不能接受的。
目前該漏洞的修復僅涉及kubernetes-csi專案維護的元件,包括:
kubernetes-csi/external-attacher: v0.4.1 and older, v1.0.0 and older
kubernetes-csi/external-provisioner: v0.4.1 and older, v1.0.0 and older
kubernetes-csi/drivers (iscsi-only): v0.4.1 and older, v1.0.1 and older
如果您正在使用上述版本,可以將元件公升級到下面版本以解決這個漏洞:
kubernetes-csi/external-attacher: v0.4.2, v1.0.1
kubernetes-csi/external-provisioner: v0.4.2, v1.0.1
kubernetes-csi/drivers (iscsi-only): v0.4.2, v1.0.1
而其他csi driver提供商也應該評估是否存在相似的問題。
12/25-1/22 1.13bug fix彙總
12/25-1/22期間,雖然沒有特別嚴重的bug,但是需要關注的漏洞修復比較多,且都涉及到比較核心的元件和功能。
1.11.3重要bug fix解讀
獨家 K8S漏洞報告 近期bug fix解讀
安全漏洞cve 2019 1002100 3月2日,kubernetes社群公布了乙個中等程度的安全漏洞cve 2019 1002100。該漏洞最早由carl henrik lunde發現,並於2月25日在kubernetes發布issue 74534 根據描述,具有patch許可權的使用者可以通過...
K8s部署prometheus監控K8s細節
prometheus 一些配置檔案可以再github上找到。部署 root kube prometheus manifests 目錄下所有檔案 部署 root kube prometheus manifests setup 目錄下所有檔案 要注意的是自己要建立乙個工作空間 如果報錯執行下面語句 部署...
k8s 多租戶 k8s 基礎介紹
備註 1 每乙個pod裡執行著乙個特殊的容器 pause容器,其他容器都是業務容器,這些業務容器共享pause容器的網路棧和volume 邏輯卷 掛載卷。因此他們之間的通訊和資料交換更為高效。2 k8s設計了pod物件,將每個服務程序包裝到相應的pod中,使其成為pod中執行的乙個容器 contai...