前言
Kubernetes (簡稱K8s)是是一個開源的,用於管理雲平臺中多個主機上的容器化的應用,Kubernetes的目標是讓部署容器化的應用簡單並且高效,Kubernetes提供了應用部署、規劃、更新、維護的一種機制。K8s 最早是由谷歌開發的,目前由Cloud Native Computing Foundation 基金會維護。
漏洞概述
研究人員在K8s 中發現一個影響所有K8s版本的設計漏洞,允許租戶創建和更新服務的多租戶集羣成爲最易受到攻擊的目標。如果攻擊者可以創建或編輯服務或pod,可能就可以攔截集羣中來自其他pod的流量。如果用任意的外部IP 來創建一個服務,集羣中到該IP 的流量就會被路由到該服務,這樣有權限利用外部IP 來創建服務的攻擊者就可以攔截到任意目標IP的流量。
CVE-2020-8554漏洞是中危漏洞,有創建和編輯服務和pod等基本租戶權限的攻擊者可以在沒有任何用戶交互的情況下遠程利用該漏洞。
由於External IP (外部IP)服務並沒有廣泛應用於多租戶集羣中,而且授予租戶LoadBalancer IP 的補丁服務/狀態權限並不推薦,因此該漏洞隻影響少量的Kubernetes 部署。
如何攔截CVE-2020-8554漏洞利用
雖然Kubernetes 開發團隊還沒有提供安全補丁,但是Kubernetes產品安全委員會已經就如何臨時攔截該漏洞利用提供了建議。建議通過限制對有漏洞的特徵的訪問來應對CVE-2020-8554漏洞。此外,還可以用admission webhook container來限制對外部IP的使用,源碼和部署指南參見 https://github.com/kubernetes-sigs/externalip-webhook 。
使用Open Policy Agent Gatekeeper 策略控制器來實現對外部IP 的限制,具體參見:https://github.com/open-policy-agent/gatekeeper-library/tree/master/library/general/externalip
-
作者:極度安全 -
原文鏈接: https://www.secvery.com/4551.html
熱門文章推薦
-
Kubernetes 1.20版本開始不推薦使用Docker,你知道嗎? -
Linux Used內存到底哪裏去了? -
Harbor v2.0 鏡像回收那些事 -
Kubernetes v1.15.3 升級到 v1.18.5 心得 -
聊聊 resolv.conf 中 search 和 ndots 配置 -
解密 Docker 掛載文件,宿主機修改後容器裏文件沒有修改
最後
-
後臺回覆 【 列表】,可獲取本公衆號所有文章列表 -
歡迎您加我微信【 ypxiaozhan01 】,拉您進技術羣,一起交流學習
-
歡迎您關注【 YP小站 】,學習互聯網最流行的技術,做個專業的技術人
本文分享自微信公衆號 - YP小站(ypxiaozhan)。
如有侵權,請聯繫 [email protected] 刪除。
本文參與“OSC源創計劃”,歡迎正在閱讀的你也加入,一起分享。