云容器引擎 CCE-全面修复Kubernetes权限许可和访问控制漏洞公告(CVE-2018-1002105):漏洞影响

时间:2024-09-25 08:06:20

漏洞影响

集群使用了聚合API,只要kube-apiserver与聚合API server的网络直接连通,攻击者就可以利用这个漏洞向聚合 API服务 器发送任何API请求;

如果集群开启了匿名用户访问的权限,则匿名用户也利用这个漏洞。不幸的是Kubernetes默认允许匿名访问,即kube-apiserver的启动参数”-- anonymous-auth=true”;给予用户Pod的exec/attach/portforward的权限,用户也可以利用这个漏洞升级为集群管理员,可以对任意Pod做破坏操作。

该漏洞的更详细讨论,可见社区Issue:https://github.com/kubernetes/kubernetes/issues/71411

该漏洞的影响范围如下:

  • 集群启用了扩展API server,并且kube-apiserver与扩展API server的网络直接连通。
  • 集群对攻击者可见,即攻击者可以访问到kube-apiserver的接口,如果您的集群是部署在安全的私网内,那么不会有影响。
  • 集群开放了pod exec/attach/portforward接口,则攻击者可以利用该漏洞获得所有的kubelet API访问权限。

具体影响的集群版本如下:

  • Kubernetes v1.0.x-1.9.x
  • Kubernetes v1.10.0-1.10.10 (fixed in v1.10.11)
  • Kubernetes v1.11.0-1.11.4 (fixed in v1.11.5)
  • Kubernetes v1.12.0-1.12.2 (fixed in v1.12.3)
support.huaweicloud.com/bulletin-cce/cce_bulletin_0016.html