资讯专栏INFORMATION COLUMN

新版发行+被爆首个严重漏洞,Kubernetes动态有点多

jackzou / 2134人阅读

摘要:首爆严重安全漏洞,严重性分于昨晚爆出严重安全漏洞,该漏洞由联合创始人及首席架构师发现。其他功能更新对第三方设备监控插件的支持该功能目前被引入为功能。拓扑感知卷调度该功能现成为状态。

K8S首爆严重安全漏洞,严重性9.8分

Kubernetes于昨晚爆出严重安全漏洞,该漏洞由Rancher Labs联合创始人及首席架构师Darren Shepherd发现。该漏洞CVE-2018-1002105(又名Kubernetes特权升级漏洞,https://github.com/kubernetes...)被确认为严重性9.8分(满分10分),恶意用户可以使用Kubernetes API服务器连接到后端服务器以发送任意请求,并通过API服务器的TLS凭证进行身份验证。这一安全漏洞的严重性更在于它可以远程执行,攻击并不复杂,不需要用户交互或特殊权限。


Rancher Labs联合创始人及首席架构师 Darren Shepherd,同时也是Docker生态核心组织Docker治理委员会(DGAB)的全球仅有的四位个人顶级贡献者之一。

更糟糕的是,在Kubernetes的默认配置中,允许所有用户(经过身份验证和未经身份验证的用户)执行允许此升级的发现API调用。也就是说,任何了解这个漏洞的人都可以掌控你的Kubernetes集群。

最后的痛苦之处在于,对于用户而言,没有简单的方法来检测此漏洞是否已被使用。由于未经授权的请求是通过已建立的连接进行的,因此它们不会出现在Kubernetes API服务器审核日志或服务器日志中。请求确实会出现在kubelet或聚合的API服务器日志中,但是却无法与正确通过Kubernetes API服务器授权和代理的请求区分开来。

现在,Kubernetes已经发布了修补版本v1.10.11、v1.11.5、v1.12.3和v1.13.0-rc.1。如果您仍在使用Kubernetes v1.0.x至Kubernetes v1.9.x版本,请即刻停止并升级到修补版本。

如果由于某种原因你无法升级,你必须暂停使用聚合的API服务器,并从不应具有对kubelet API的完全访问权限的用户中删除pod exec / attach / portforward权限(不过也有用户认为这种解决方法的糟糕程度和这个漏洞问题本身不相上下了)。

Kubernetes 1.13发布,三大功能GA

昨晚差不多同一时间,Kubernetes最新版本1.13亦正式发布,这是Kubernetes在2018年的第四次也是最后一次大版本更新。

距离上一版本Kubernetes 1.12发布仅10周时间,1.13是今年Kubernetes更新最快的版本。

Kubernetes 1.13关注的重点依然是Kubernetes的稳定性和可扩展性,此版本中的有三个主要功能正式成为GA状态,包括:使用kubeadm简化集群管理、容器存储接口(CSI)、以及使用CoreDNS作为默认DNS。

使用kubeadm简化K8S集群管理,该功能已GA

大多数直接使用Kubernetes的用户在某些时候都会直接上手使用kubeadm。它是管理集群从创建到配置再到升级这一生命周期的重要工具。现在,kubeadm正式GA。kubeadm可以处理现有硬件上的生产集群的引导(bootstrapping),并以最佳实践方式配置核心Kubernetes组件,以便为新节点提供安全而简单的连接流程并能够轻松升级。该GA版本中值得一提的是,现在已经完成的高级特性,特别是可拔性和可配置性。kubeadm的目标是成为管理员和自动化的工具箱以及更高级的系统。这一版本在这个方向上已经迈进了一大步。

容器存储接口(CSI)现已GA

容器存储接口(CSI)在作为alpha引入v1.9以及在v1.10作为beta引入之后,现已正式GA。使用CSI,Kubernetes volume变得真正可扩展。这让第三方存储提供商可以编写与Kubernetes互操作而无需触及核心代码的插件。Specification本身也达到了1.0的状态。随着CSI逐渐稳定,插件作者可以按照自己的节奏开发核心存储插件。同时,可以在CSI文档中找到样本和生产驱动的列表:

https://kubernetes-csi.github...

CoreDNS成为Kubernetes的默认DNS服务器

在Kubernetes1.11中, CoreDNS作为基于DNS的服务发现已经GA。在1.13中,CoreDNS将替换kube-dns,成为Kubernetes的默认DNS服务器。CoreDNS是一个通用的、权威的DNS服务器,提供与Kubernetes向后兼容但可扩展的集成。CoreDNS比以前的DNS服务器具有更少的移动部件,因为它是单个可执行文件和单个进程,并通过创建自定义DNS条目来支持灵活的用例。它也是用Go语言编写,具有内存安全性。

CoreDNS现在是Kubernetes 1.13+推荐的DNS解决方案。该项目已将常用测试基础架构切换为默认使用CoreDNS,官方也建议用户进行切换。对KubeDNS的支持和维护将至少再延续一个版本,但现在是时候开始规划迁移了。许多OSS安装工具已经进行了切换,包括1.11中的Kubeadm。如果您使用的是托管解决方案,请与您的供应商确认了解这将如何影响到您。

其他功能更新

对第三方设备监控插件的支持:该功能目前被引入为alpha功能(https://github.com/kubernetes...)。

Kubelet设备插件注册:该功能将成为stable状态。这创建了一个通用的Kubelet插件发现模型,可以由不同类型的节点级插件(例如设备插件、CSI和CNI)用于与Kubelet建立通信通道。

拓扑感知卷调度:该功能现成为stable状态。这使调度程序能够识别Pod的卷的拓扑约束,例如区域或节点。

APIServer DryRun:该功能即将升级为beta版。这将“应用”和声明性对象管理从移动kubectl到apiserver,以便修复当前无法修复的许多现有错误。

Kubectl Diff:即将升级为beta版。这允许用户运行kubectl命令以查看本地声明的对象配置与活动对象的当前状态之间的差异。

使用持久性卷源的原始块设备:正逐渐升级为beta版。这使得原始块设备(非网络设备)可通过持久卷源进行使用。

用户现可在GitHub上下载使用Kubernetes的最新版本1.13:

https://github.com/kubernetes...

更多参考:

https://kubernetes.io/blog/20...

https://www.zdnet.com/article...

https://www.theregister.co.uk...

文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。

转载请注明本文地址:https://www.ucloud.cn/yun/32789.html

相关文章

  • Kubernetes新近kubectl及CNI漏洞修复,Rancher 2.2.1发布

    摘要:今天,发布了一系列补丁版本,修复新近发现的两个安全漏洞命令安全漏洞和端口映射插件漏洞。因为端口映射插件是嵌入到版本中的,只有升级至新版本的才能解决此问题。现在修复之后,将端口映射插件的规则由最优先变为附加,则可以让流量优先由规则处理。 今天,Kubernetes发布了一系列补丁版本,修复新近发现的两个安全漏洞CVE-2019-1002101(kubectl cp命令安全漏洞)和CVE-...

    dkzwm 评论0 收藏0
  • Kubernetes首个严重安全漏洞发现者,谈发现过程及原理机制

    摘要:北美时间月日,爆出严重安全漏洞,该漏洞由联合创始人及首席架构师发现。反复深入研究后,我发现问题与不处理非响应和反向代理缓存连接有关。问题是,将仅在反向代理中执行许多请求的授权。大多数负载均衡器在看到升级请求而非响应后不会重用连接。 北美时间11月26日,Kubernetes爆出严重安全漏洞,该漏洞由Rancher Labs联合创始人及首席架构师Darren Shepherd发现。该漏洞...

    darkerXi 评论0 收藏0
  • K8S新安全漏洞的应对之策:API Server拒绝服务漏洞

    摘要:爆出中等严重性安全漏洞拒绝服务漏洞。本文将进行漏洞解读和情景再现,并分享漏洞修复方案,用户来看应对之策了漏洞美国当地时间年月日,社区发布了拒绝服务的漏洞,即有写入权限的用户在写入资源时会导致过度消耗资源,此漏洞被评级为中等严重性。 Kubernetes爆出中等严重性安全漏洞——Kubernetes API Server拒绝服务漏洞CVE-2019-1002100。 本文将进行漏洞解读和...

    defcon 评论0 收藏0
  • Rancher推出k3OS:业界首个Kubernetes操作系统,领跑边缘计算生态

    摘要:虽然可以安装在任何的发行版上,但将与底层操作系统分开进行系统补丁或升级的话,操作会很复杂。简化系统补丁和升级管理员可以通过一组通用的文件管理发行版和发行版,并利用协调部署操作系统升级。 美国时间2019年4月24日,业界领先的容器软件提供商Rancher Labs(以下简称Rancher)正式发布k3OS,这是业界首个专为Kubernetes而生的极轻量操作系统,资源消耗极低,操作极简...

    joywek 评论0 收藏0
  • 新近爆出的runC容器逃逸漏洞,用户如何面对?

    摘要:漏洞披露后,在第一时间发布了,用户可升级到此版本以修复该漏洞。年年底被爆出的首个严重安全漏洞,就是由联合创始人及首席架构师发现的。年月被爆出仪表盘和外部代理安全漏洞时,也是第一时间向用户响应,确保所有和的用户都完全不被漏洞影响。 runC是一个根据OCI(Open Container Initiative)标准创建并运行容器的CLI工具,目前Docker引擎内部也是基于runc构建的。...

    trigkit4 评论0 收藏0

发表评论

0条评论

jackzou

|高级讲师

TA的文章

阅读更多
最新活动
阅读需要支付1元查看
<