云容器引擎 CCE-全面修复Kubernetes权限许可和访问控制漏洞公告(CVE-2018-1002105):漏洞修复方案
漏洞修复方案
综合以上分析,使用华为云CCE服务时不必过于担心,因为:
- CCE服务创建的集群默认关闭匿名用户访问权限。
- CCE服务创建的集群没有使用聚合API。
华为云容器引擎已完成1.11以上版本Kubernetes集群的在线补丁修复,针对低于v1.10的集群(社区已不对其进行修复),已提供补丁版本进行修复,请关注升级公告,及时修复漏洞。
如果您是自己搭建Kubernetes集群,为提高集群的安全系数,建议如下,一定要关闭匿名用户访问权限。
尽快升级到社区漏洞修复版本。合理配置RBAC,只给可信用户Pod的exec/attach/portforward权限。
如果您当前使用的Kubernetes版本低于v1.10,不在官方补丁支持范围内,建议自行回合补丁代码 :https://github.com/kubernetes/kubernetes/pull/71412。