Kubernetes (通称K8s)是是一个开源系统的,用以管理云平台中好几个服务器上的容器化的运用,Kubernetes的总体目标是让布署容器化的运用简易而且高效率,Kubernetes给予了运用布署、整体规划、升级、维护保养的一种体制。K8s 最开始是由Google开发设计的,现阶段由Cloud Native Computing Foundation 慈善基金会维护保养。
漏洞简述
科学研究员工在K8s 中看到一个危害全部K8s版本号的设计方案漏洞,容许租赁户建立和升级服务的多租户集群变成容易遭受伤害的总体目标。假如攻击者可以建立或编写服务或pod,很有可能就可以阻拦集群中来源于别的pod的总流量。假如用随意的外界IP 来构建一个服务,集群中到该IP 的总流量便会被路由器到该服务,那样有管理权限利用外界IP 来建立服务的攻击者就可以阻拦到随意总体目标IP的总流量。
CVE-2020-8554漏洞是中危漏洞,有建立和编写服务和pod等基本上租赁户管理权限的攻击者可以在没有客户互动的情形下远程控制利用该漏洞。
因为External IP (外界IP)服务并沒有广泛运用于多租户集群中,并且授于租赁户LoadBalancer IP 的补丁包服务/情况管理权限并不强烈推荐,因而该漏洞只危害少许的Kubernetes 布署。
怎样阻拦CVE-2020-8554漏洞利用
尽管Kubernetes 开发设计精英团队都还没给予安全更新,可是Kubernetes安全产品联合会早已就怎样临时性阻拦该漏洞利用给予了提议。建议根据限定对有漏洞的基本特征的浏览来解决CVE-2020-8554漏洞。除此之外,还能够用admission webhook container来限定对外界IP的应用,源代码和布署手册参照 https://github.com/kubernetes-sigs/externalip-webhook
应用Open Policy Agent Gatekeeper 对策控制板来完成对外界IP 的限定,实际参照:https://github.com/open-policy-agent/gatekeeper-library/tree/master/library/general/externalip
文中翻譯自:https://www.bleepingcomputer.com/news/security/all-kubernetes-versions-affected-by-unpatched-mitm-vulnerability/倘若转截,请标明全文详细地址。