近日,Kubernetes社區發現安全漏洞 CVE-2018-1002105,阿里雲容器服務已在第一時間完成全面修復,敬請廣大用戶登錄阿里雲控制檯升級Kubernetes版本。
目前Kubernetes開發團隊已經發布V1.10.11、V1.11.5修復補丁,阿里雲容器服務也已在第一時間完成漏洞全面修復,用戶登錄阿里雲控制檯即可一鍵升級。 
更多信息可以移步公告《關於Kubernetes CVE-2018-1002105 提權漏洞的修復公告》
漏洞發現後的措施
具體而言有一下幾種情況供大家參考:
1 用戶選用阿里雲容器服務K8s
影響範圍有限,阿里雲容器服務ACK一直在推進和保障最小權限原則,默認開啓了RBAC,通過主賬號授權管理默認禁止了匿名用戶訪問。同時Kubelet 啓動參數爲”anonymous-auth=false”,提供了安全訪問控制,防止外部***。對於使用子賬號的多租戶ACK集羣用戶,子賬號訪問Kubernetes,其賬號可能通過Pod exec/attach/portforward越權。如果集羣只有管理員用戶,則無需過度擔心。子賬號在不經過主賬號自定義授權的情況下默認不具有聚合API資源的訪問權限。這些子賬號用戶請選擇合適業務時間升級,進入控制檯點擊一鍵更新安全版本Kubernetes。
2 如果是完全自行搭建K8s
如果是在ECS上自建k8s的用戶,請務必檢查各項配置,如有失誤,會引發較大安全風險。若用戶在阿里雲ECS服務器上自建Kubernetes集羣,建議第一時間登錄Kubernetes官網下載最新版,做好備份給節點打快照,並檢查好配置、確保權限最小化,選擇合適業務時間升級。
3 如果是在無服務器版本
無服務器版本Kubernetes在此之前已額外加固,用戶不受此漏洞影響
更多關於阿里雲容器服務
本次漏洞有限,阿里雲容器服務Kubernetes採用了企業級的安全防護設計,爲雲上開發者省去了很多煩惱:
API Server配置默認禁止匿名訪問
容器集羣採用VPC方案,網絡環境全隔離
用戶可以選擇在公網隱藏API Server
默認子帳號沒有訪問集羣資源的權限
此外,無服務器版本Kubernetes已提前加固,用戶不受此漏洞影響。
去年11月,阿里雲率先推出了Kubernetes管理服務,整合阿里雲在虛擬化、存儲、網絡和安全能力的優勢,提供多種應用發佈方式和持續交付能力並支持微服務架構。用戶可輕鬆創建、配置和管理虛擬機羣集,在阿里雲上部署和管理基於容器的應用程序。
爲降低開發應用門檻,阿里雲對Kubernetes能力進行了多重補充。比如,通過選擇不同節點,實現異構計算集羣支持深度學習等場景,或者雲上一鍵部署集羣,集成解決方案。
阿里雲容器服務採用了高性能的神龍技術架構,資源利用率提升了3倍以上,同時融合以太網RDMA技術25Gb網絡,相比自建性能可提高數倍。同時,阿里雲還是業內首家提供ServiceMesh服務網格最佳實踐及異地多活方案的雲廠商。
安全是容器服務的重中之重。阿里雲容器服務充分考慮了企業級的安全訴求,所有組件均提供雙向證書驗證,預製開啓RBAC等鑑權能力,用戶可以通過阿里雲控制檯可以安全地管理集羣資源。
作爲國內最大規模的公共雲容器平臺,阿里雲已爲西門子、新浪微博、國泰君安、小鵬汽車、安諾優達等數千多家企業提供容器服務,在全球十六個地域部署,支持公共雲、專有云、金融雲、政務雲。