Kubernetes儀表盤(pán)和外部IP代理漏洞及應(yīng)對(duì)之策-創(chuàng)新互聯(lián)

近期，Kubernetes儀表盤(pán)和外部IP代理接連被發(fā)現(xiàn)存在安全問(wèn)題。針對(duì)這兩個(gè)漏洞，Kubernetes發(fā)布了相應(yīng)的補(bǔ)丁版本供會(huì)受漏洞影響的用戶解決問(wèn)題。本文將更深入解讀這兩個(gè)安全漏洞的原理、會(huì)對(duì)您的Kubernetes部署造成的影響以及相應(yīng)的應(yīng)對(duì)之策。
 

 
通過(guò)kubernetes儀表盤(pán)訪問(wèn)自定義TLS證書(shū)

成都創(chuàng)新互聯(lián)始終堅(jiān)持【策劃先行，效果至上】的經(jīng)營(yíng)理念，通過(guò)多達(dá)十載累計(jì)超上千家客戶的網(wǎng)站建設(shè)總結(jié)了一套系統(tǒng)有效的全網(wǎng)推廣解決方案，現(xiàn)已廣泛運(yùn)用于各行各業(yè)的客戶，其中包括：成都社區(qū)文化墻等企業(yè)，備受客戶贊譽(yù)。

Kubernetes儀表盤(pán)漏洞（CVE-2018-18264）會(huì)影響v1.10.0或更早的儀表盤(pán)版本。因?yàn)檫@一漏洞，用戶可以“跳過(guò)”登錄過(guò)程，假設(shè)配置的服務(wù)帳戶，最后獲得儀表盤(pán)所使用的自定義TLS證書(shū)。如果您已將Kubernetes儀表盤(pán)配置為需要登錄并將其配置為使用自定義TLS證書(shū)，那么這一漏洞會(huì)影響到您，您需要及時(shí)注意。

該漏洞的運(yùn)作原理

此漏洞可以分為兩部分來(lái)解釋。

第一個(gè)是，因?yàn)榈顷憰r(shí)用戶可以選擇“跳過(guò)”這一選項(xiàng)，那么任何用戶都可以繞過(guò)登錄過(guò)程，該過(guò)程在v1.10.0或更早版本中始終默認(rèn)啟用。這樣一來(lái)，用戶就完全跳過(guò)登錄過(guò)程并能使用儀表盤(pán)配置的服務(wù)帳戶。

第二個(gè)是，使用儀表盤(pán)配置的服務(wù)帳戶，必須最低限度地有權(quán)限訪問(wèn)自定義TLS證書(shū)（以secret的形式存儲(chǔ)）。未經(jīng)身份驗(yàn)證的登錄，加上儀表板使用配置的服務(wù)帳戶來(lái)檢索這些secret的能力，組合在一起的結(jié)果就是這一安全問(wèn)題。

使用儀表盤(pán)v1.10.1補(bǔ)丁時(shí)，默認(rèn)情況下將不再啟用“跳過(guò)”選項(xiàng)，并且會(huì)禁用儀表盤(pán)在UI中檢索和顯示它的功能。

 
該漏洞對(duì)Rancher 1.6.x和2.x意味著什么？

在Rancher 2.x中，默認(rèn)情況下不會(huì)啟用Kubernetes儀表盤(pán)，因?yàn)镽ancher 2.0用戶界面可用作替代方案。若您不會(huì)使用到儀表盤(pán)代碼庫(kù)，則不受此漏洞的影響。如果您更改了默認(rèn)設(shè)置、在Rancher管理的任何Kubernetes集群之上部署了Kubernetes儀表盤(pán)，請(qǐng)務(wù)必使用Kubernetes官方提供的指南及補(bǔ)丁修復(fù)這一漏洞。

如果你使用的是Rancher 1.6.x，則完全無(wú)需擔(dān)心。在Rancher 1.6.x中，Kubernetes儀表盤(pán)作為每個(gè)Kubernetes集群環(huán)境的一部分包含在內(nèi)；但是，1.6.x部署不受影響，因?yàn)镽ancher Server充當(dāng)了Kubernetes儀表盤(pán)的身份驗(yàn)證授權(quán)和代理。它不利用默認(rèn)的Kubernetes儀表盤(pán)登錄機(jī)制。此外，Rancher部署的Kubernetes儀表盤(pán)不使用任何自定義TLS證書(shū)。

Kubernetes API服務(wù)器外部IP地址代理漏洞

下面讓我們來(lái)探討Kubernetes公告所描述的第二個(gè)漏洞。

Kubernetes API服務(wù)器使用節(jié)點(diǎn)、node或服務(wù)代理API，將請(qǐng)求代理到pod或節(jié)點(diǎn)。通過(guò)直接修改podIP或nodeIP，可以將代理請(qǐng)求定向到任何IP。API服務(wù)器總是被部署在某網(wǎng)絡(luò)中的，利用這個(gè)漏洞就訪問(wèn)該網(wǎng)絡(luò)中的任何可用IP了。盡管自從v1.10發(fā)布以來(lái)，Kubernetes已經(jīng)在很大程度上增加了檢查以緩解這個(gè)問(wèn)題，但最近才發(fā)現(xiàn)有一條路徑的問(wèn)題并沒(méi)有被完全解決——將代理指向本地地址到運(yùn)行API服務(wù)器的主機(jī)。

 
該漏洞的運(yùn)作原理

通過(guò)使用Kubernetes API，用戶可以使用節(jié)點(diǎn)代理、pod代理或服務(wù)代理API請(qǐng)求與pod或節(jié)點(diǎn)的連接。Kubernetes接受此請(qǐng)求，找到podIP或nodeIP的關(guān)聯(lián)IP，并最終將該請(qǐng)求轉(zhuǎn)發(fā)到該IP。這些通常由Kubernetes自動(dòng)分配。但是，集群管理員（或具有類似“超級(jí)用戶”權(quán)限的不同角色）可以更新資源的podIP或nodeIP字段以指向任意IP。

這在很大程度上不是問(wèn)題，因?yàn)椤捌胀ā庇脩魺o(wú)法更改資源的podIP或nodeIP。podIP和nodeIP字段位于pod和節(jié)點(diǎn)資源的狀態(tài)子資源中。為了更新?tīng)顟B(tài)子資源，必須專門(mén)授予RBAC規(guī)則。默認(rèn)情況下，除了集群管理員和內(nèi)部Kubernetes組件（例如kubelet、controller-manager、scheduler）之外，沒(méi)有Kubernetes角色可以訪問(wèn)狀態(tài)子資源。想要利用此漏洞，首先得擁有對(duì)集群的高級(jí)別訪問(wèn)權(quán)限。

這一次Kubernetes官方發(fā)布的修復(fù)，是確定***向量可以存在于與集群分開(kāi)管理控制面板的設(shè)置中。在這種情況下，集群管理員是不能訪問(wèn)運(yùn)行API服務(wù)器的主機(jī)的。這種情況存在于您從云提供商處獲得的托管Kubernetes服務(wù)中。在這種情況下，集群管理員可以通過(guò)將podIP / nodeIP修改為本地地址（如127.0.0.1）來(lái)訪問(wèn)API服務(wù)器的本地地址。今天發(fā)布的修復(fù)將阻止代理到本地地址。

這對(duì)Rancher用戶意味著什么？

Rancher托管集群的默認(rèn)權(quán)限，僅允許集群所有者和成員更改podIP或nodeIP字段。將該權(quán)限提供給其他用戶時(shí)，必須假定允許用戶能夠完全訪問(wèn)集群中的任何節(jié)點(diǎn)。所有其他默認(rèn)角色（例如項(xiàng)目所有者/成員）都無(wú)權(quán)訪問(wèn)這些字段。今天發(fā)布的修復(fù)程序所適用的部署的Kubernete集群，是其控制面板網(wǎng)絡(luò)與應(yīng)用程序使用的網(wǎng)絡(luò)不同的。在Rancher 1.6.x或2.x中創(chuàng)建的Kubernete集群，均默認(rèn)集群管理員具有對(duì)控制面板節(jié)點(diǎn)的完全訪問(wèn)權(quán)限。如果您正在使用Rancher 2.x，并且正在使用托管云提供商（例如EKS、GKE、AKS），請(qǐng)與他們核實(shí)安全性是否存在問(wèn)題，因?yàn)榭刂泼姘迨菤w云提供商所有。

我們始終希望能確保Rancher用戶能夠在最短時(shí)間內(nèi)使用到最新的安全修復(fù)程序和相應(yīng)補(bǔ)丁，Kubernetes版本v1.10.12、v1.11.6和v1.12.4解決了這兩個(gè)安全漏洞，這三個(gè)版本的Kubernetes將可在Rancher 版本v2.1.5和v2.0.10中使用。如果你是Rancher v1.6.x版本的用戶，則無(wú)需做任何更新，因?yàn)闃?biāo)準(zhǔn)的v1.6.x安裝不受這次安全漏洞影響。

您還可以通過(guò)下述兩個(gè)鏈接了解到Kubernetes官方針對(duì)這兩個(gè)漏洞的相應(yīng)討論：

https://discuss.kubernetes.io/t/security-release-of-dashboard-v1-10-1-cve-2018-18264/4069

https://discuss.kubernetes.io/t/security-impact-of-kubernetes-api-server-external-ip-address-proxying/4072

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn，海內(nèi)外云服務(wù)器15元起步，三天無(wú)理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

分享標(biāo)題：Kubernetes儀表盤(pán)和外部IP代理漏洞及應(yīng)對(duì)之策-創(chuàng)新互聯(lián)
文章來(lái)源：http://muchs.cn/article44/eegee.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供軟件開(kāi)發(fā)、網(wǎng)頁(yè)設(shè)計(jì)公司、網(wǎng)站導(dǎo)航、定制網(wǎng)站、手機(jī)網(wǎng)站建設(shè)、響應(yīng)式網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)