阿里云容器服务Kubernetes 已修复漏洞CVE-2018-1002105,本文介绍该漏洞的影响及解决方法。

背景信息

Kubernetes社区发现安全漏洞:CVE-2018-1002105。Kubernetes用户可通过伪造请求,在已建立的API Server连接上提升权限访问后端服务,目前阿里云容器服务Kubernetes 已第一时间修复此漏洞,请登录容器服务管理控制台升级您的Kubernetes版本。

漏洞CVE-2018-1002105详细信息,请参考:https://github.com/kubernetes/kubernetes/issues/71411

影响版本

  • Kubernetes v1.0.x-1.9.x
  • Kubernetes v1.10.0-1.10.10 (fixed in v1.10.11)
  • Kubernetes v1.11.0-1.11.4 (fixed in v1.11.5)
  • Kubernetes v1.12.0-1.12.2 (fixed in v1.12.3)

影响配置

  • 容器服务Kubernetes集群启用了扩展API Server,并且kube-apiserver与扩展API Server的网络直接连通。
  • 容器服务Kubernetes集群开放了 pod exec/attach/portforward 接口,用户可以利用该漏洞获得所有的kubelet API访问权限。

阿里云容器服务Kubernetes集群配置

  • 阿里云容器服务Kubernetes集群的API Server默认开启了RBAC,通过主账号授权管理默认禁止了匿名用户访问。同时Kubelet 启动参数为anonymous-auth=false,提供了安全访问控制,防止外部入侵。
  • 对于使用子账号的多租户容器服务Kubernetes集群用户,子账号可能通过pod exec/attach/portforward 接口越权访问。如果集群只有管理员用户,则无需过度担心。
  • 子账号在不经过主账号自定义授权的情况下默认不具有聚合API资源的访问权限。

解决方法

请登录容器服务管理控制台,升级您的集群,升级的注意事项及具体的操作步骤,请参考升级集群
  • 如果您的集群版本为1.11.2请升级到1.11.5。
  • 如果您的集群版本为1.10.4请升级到1.10.11或1.11.5版本。
  • 如果您的集群版本为1.9及以下版本,请升级到1.10.11或1.11.5版本。在1.9版本升级1.10或1.11版本时,如集群使用了云盘数据卷,需在控制台先升级flexvolume插件。
    说明 在容器服务管理控制台上,选择目标集群,单击导航栏 更多 > 系统组件升级,在 系统组件升级页面,选择 flexvolume组件,单击 升级

由于Serverless Kubernetes在此漏洞发生前已进行加固,用户不受影响。