首页 > 安全钻研 > 安全传递 > 安全公告

Kubernetes 权限提升缝隙安全公告

颁布功夫 2018-12-06

缝隙编号和级别

CVE编号：CVE-2018-1002105，，，，，危险级别：严沉，，，，，CVSS分值：厂商自评 9.8，，，，，官方未评定

影响版本

Kubernetes < v1.0.x-1.9.x

Kubernetes < v1.10.0-1.10.10 (fixed in v1.10.11)

Kubernetes < v1.11.0-1.11.4 (fixed in v1.11.5)

Kubernetes < v1.12.0-1.12.2 (fixed in v1.12.3)

以及其他所有基于 Kubernetes 的产品、服务等（如 OpenShift）。。。。。。。。

缝隙概述

12月3日，，，，，redhat 官方颁布安全公告，，，，，指出 Kubernetes （K8s）存在一个严沉的权限提升缝隙（CVE-2018-1002105），，，，，所有基于 Kubernetes 的服务和产品，，，，，蕴含 redhat OpenShift Container Platform，，，，，Red Hat OpenShift Online 和 Red Hat OpenShift Dedicated 都受到了影响。。。。。。。。

Kubernetes（常简称为 K8s）是用于自动部署、扩大和治理容器化利用法式的开源系统。。。。。。。。它旨在提供“跨主机集群的自动部署、扩大以及运行利用法式容器的平台”。。。。。。。。它支持一系列容器工具, 蕴含Docker等。。。。。。。。

OpenShift 是由 redhat 推出的 PaaS 云推算平台，，，，，供用户创建网络利用（App、网站）。。。。。。。。Openshift 底层以 Docker 作为容器引擎驱动，，，，，以 Kubernetes 作为容器编排引擎组件。。。。。。。。

任何可能通过 Kubernetes API server 与后端服务器成立衔接的用户，，，，，能够在维持衔接不休开的基础上，，，，，进一步利用 Kubernetes API server 已经授权的 TLS 凭证，，，，，发送被授权的肆意要求，，，，，从而造成权限提升甚至更大的风险。。。。。。。。攻击者只有保障该聚合 API 服务器在 Kubernetes API server 的网络中被允许即可。。。。。。。。而在默认情况下，，，，，所有的用户都能够在没有限度的情况下实现以上攻击。。。。。。。。

任何占有 pod exec/attach/portforward 权限的通常用户，，，，，能够获得运行在当前 pod 中肆意推算节点的集群治理员权限，，，，，从而可能接见所有隐衷数据、在这些 pod 中执行号令等。。。。。。。。

该缝隙由 Rancher Labs 的首席架构师兼结合首创人 Darren Shepherd 发现。。。。。。。。缝隙严沉水平被界说为 9.8 ，，，，，属于极度严沉的缝隙（满分为 10）。。。。。。。。

原因如下：

未授权的接见要求不会呈此刻 Kubernetes API 服务器的审计日志或服务器日志傍边，，，，，只在 kublet 或聚合 API 服务器日志中可见。。。。。。。。而在聚合 API 服务器中，，，，，很难把这些未授权的接见要求和正常的接见要求分辨隔来。。。。。。。。

缝隙验证

暂无POC/EXP。。。。。。。。

建复建议

立即更新 Kubernetes 至 v1.10.11、v1.11.5，，，，，v1.12.3 和 v1.13.0-rc.1 的肆意一个版本。。。。。。。。

参考链接

https://access.redhat.com/security/cve/cve-2018-1002105

https://access.redhat.com/security/vulnerabilities/3716411

https://github.com/kubernetes/kubernetes/issues/71411

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子

司法申明

软件升级

投资者关系

安全钻研