8月6日,Kubernetes發佈了三個新的補丁版本,以修復近期發現的兩個安全漏洞CVE-2019-11247和CVE-2019-11249。Rancher迅速反應,亦在8月7日發佈最新版本Rancher v2.2.7,支持Kubernetes新發布的補丁版本,幷包含對Rancher新近CVE的修復,以及功能與優化。
Kubernetes CVE及修復版本
Kubernetes新發布的三個版本爲:
v1.13.9
v1.14.5
v1.15.2
在新版本中修復了以下漏洞:
CVE-2019-11247:
此漏洞會導致API Server允許通過錯誤的範圍訪問自定義資源。受此漏洞影響的Kubernetes版本包括:
Kubernetes 1.7.x-1.12.x
Kubernetes 1.13.0-1.13.8
Kubernetes 1.14.0-1.14.4
Kubernetes 1.15.0-1.15.1
CVE-2019-11249:
CVE-2019-1002101 和 CVE-2019-11246的修復並不完全,此漏洞會導致惡意容器在客戶端使用kubectl cp操作時將有權限在客戶端計算機上創建或替換文件。受此漏洞影響的Kubernetes版本包括:
Kubernetes 1.0.x-1.12.x
Kubernetes 1.13.0-1.13.8
Kubernetes 1.14.0-1.14.4
Kubernetes 1.15.0-1.15.1
爲了您的集羣安全,建議您將Kubernetes集羣都升級新發布的修復版本,有關CVE的更多詳情,請參閱:
https://groups.google.com/forum/#!topic/kubernetes-security-announce/vUtEcSEY6SM
Rancher 2.2.7發佈
今日,Rancher Labs發佈了Rancher全新版本v2.2.7,該版本支持Kubernetes於8月6日發佈的補丁版本(v1.13.9、v1.14.5、v1.15.2)。同時,Rancher v2.2.7還修復了近期發現的安全漏洞CVE-2019-14435和CVE-2019-14436。
目前,Rancher的Latest和Stable版本信息如下:
同時,Rancher Labs官方還發布了v2.1.12,可供尚未升級至Rancher 2.2.x的用戶使用。這一版本Rancher暫時僅支持 Kubernetes v1.13.9。
此外,Rancher v2.2.7和v2.1.12還修復了最近在Rancher發現的兩個CVE:
CVE-2019-14435:由於該漏洞,經過身份驗證的用戶可能可以從Rancher使用的系統服務容器可獲得的IP中提取其他私有數據,包括但不限於諸如雲提供商元數據服務之類的服務。儘管Rancher用戶可以配置白名單域以進行系統服務訪問,但是惡意用戶仍然通過精心設計的HTTP請求來利用這個缺陷。此漏洞由Workiva公司的Matt Belile和Alex Stevenson發現並報告。
CVE-2019-14436:通過此漏洞,本來只具有“Project所有者”角色權限的成員(甚至是在編輯角色綁定方面權限更低的成員),將能夠授予自己更高的、集羣級別的角色,從而獲取管理該集羣的權限。此漏洞由諾基亞公司的Michal Lipinski發現並報告。
請注意:
Rancher 1.6.x用戶不受Kubernetes的這兩個安全漏洞影響,因爲Rancher 1.6.x自身不支持這兩個漏洞所影響的Kubernetes版本。
關於Rancher 2.0.x的用戶:
Rancher 1.6.x類似,Rancher 2.0.x也不支持上述Kubernetes版本,因此不受Kubernetes這兩個安全漏洞影響。
而關於Rancher的兩個漏洞問題,正如Rancher服務條款頁面所示,Rancher 2.0.x目前處於其產品生命週期的EOM到EOL支持階段。因此,Rancher官方沒有計劃發佈v2.0.x補丁版本來修復CVE-2019-14435和CVE-2019-14436。對於Rancher的企業級訂閱客戶,如果您有特殊情況,需要在v2.0.x版本中修復這兩個漏洞,請聯繫Rancher的技術支持團隊。或者,請在v2.0.x 的EOL日期(2019年11月1日)之前,將您的Rancher升級到最新版本。
功能與優化
添加了對Docker 19.03的支持
添加了設置s3備份路徑的功能
下載與升級
您可以至Rancher GitHub主頁,閱讀完整的Rancher 2.2.7 Release Note、下載使用最新版本、或瞭解更多與升級回滾有關的注意事項。
GitHub鏈接:
https://github.com/rancher/rancher/releases