现在更新以防止严重漏洞
在Kubernetes中释放了修补程序,该漏洞可能允许特权升级。
缺陷CVE-2018-1002105允许通过与Kubernetes应用程序编程接口(API)服务器建立连接,通过建立连接来连接到后端服务器的特制网络请求。
然后,Actor可以直接向后端服务器发送任意请求,后端服务器与Kubernetes API Server的传输层安全凭据进行身份验证。
使用Kubernetes的任何系统都可能容易受到安全漏洞的攻击,尽管API服务器等防火墙等预防措施可能会降低曝光。
它是九伯特斯核心内的第一个主要安全问题,在安全研究员Darren Shepherd发现之后。
已释放曲折的拷贝,V1.10.11,V1.11.5,V1.12.3和V1.13.0-RC.1。
敦促用户升级以保护自己免受缺陷。虽然Kubernetes团队指出,有可能的缓解,但这些可能是破坏性的。
该团队还指出,检测漏洞是否有效,没有简单的方法。
一种GitHub报告阅读:“因为未经授权的请求通过既定的连接进行,因此它们不会出现在Kubernetes API Server审核日志或服务器日志中。
“请求显示在kubelet或聚合API服务器日志中,但无法通过Kubernetes API Server无法从正确授权和代理的请求中无法区分。”