近日,Kubernetes 社区在高频讨论的 Kubernetes 严重安全漏洞,编号为 CVE-2018-1002105 [1](CVSS 评分 9.8 分),受该问题影响的 Kubernetes 版本范围包括:
影响组件:Kubernetes apiserver
其原理是,在有漏洞的 Kubernetes 版本中,攻击者可以通过制造 HTTP Upgrade 失败请求,来获取到后端服务(kubelet,aggregated API server)的未关闭连接。连接一旦建立成功,攻击者可以以管理员权限,向后端服务发送任意请求。
Kubernetes 安全建议方案[1]:
漏洞对 Caicloud Compass 产品的影响
此次 Kubernetes 漏洞事件对 Caicloud Compass 的企业客户不会构成影响和威胁,原因如下:
在 Caicloud Compass 产品中,所有对集群 Apiserver 的访问,都经由 Caicloud Compass 的 API gateway 进行访问。恶意用户无法直接利用这个漏洞发起对后端服务的攻击。
同时,才云在即将发行的 Caicloud Compass 2.7.3 版本会使用没有此安全漏洞的 Kubernetes 版本(1.12.3)。对于在生产环境中已经使用 Caicloud Compass 的客户,才云亦可协助升级。
原文链接:
