【问题标题】:How kubernetes is prone to cyber attack in private networkKubernetes如何在私网中容易受到网络攻击
【发布时间】:2019-12-16 11:56:36
【问题描述】:

最近在 Kubernetes 中发现了一个严重漏洞,黑客可以在该漏洞中发送授权消息并访问 Kubernetes,并从那里尝试登录到后端。 这是否仅在公共网络或专用网络中才有可能?如何?

【问题讨论】:

  • 请链接一个漏洞。
  • 您能否提供任何指向上述漏洞的链接,以便我们知道我们在说什么?
  • CVE - CVE-2018–1002105

标签: kubernetes kubelet


【解决方案1】:

这里的关键点是:

在 v1.10.11、v1.11.5 和 v1.12.3 之前的所有 Kubernetes 版本中。

这些适用于不再受支持的旧 Kubernetes 版本,您不应该在生产系统上使用它们。如果您想熟悉 Kubernetes 版本支持政策,请参考this 文章。正如你所读到的:

Kubernetes 项目维护最新版本的发布分支 三个小版本。适用的修复程序,包括安全修复程序,可能 根据严重性向后移植到这三个发布分支 和可行性。

目前它们是:1.13、1.14 和 1.15 版本。

正如您所看到的 herehere,该漏洞已于 2018 年 12 月公开,所以我不会说就当代软件开发流程标准而言,它是最近。考虑是否安全使用某些具有漏洞/错误的软件是没有意义的,这些漏洞/错误已经在较新版本中修复,并且可以长期使用。

如果您对此 bug 感兴趣,可以分析 this GitHub 问题或阅读 this 文章中的精彩描述。如您所见:

该漏洞允许攻击者发送合法的、授权的 向 API 服务器请求绕过任何授权逻辑 顺序请求。换句话说,将特权升级到任何 用户。

换句话说:为了能够绕过后续请求中的授权逻辑或提升权限,此类用户需要能够向 API 服务器发送合法、授权的请求。

所以此时您可能可以自己回答您的问题。关键不是网络是公共的还是私有的。更重要的是如何保护它以及可以由谁访问它。一般来说,没有外部访问权限的私有网络(例如 Intranets)往往更安全,但如果涉及到诸如已经具有一定访问权限的人可能提升权限之类的事情,即使在组织内部也是潜在的危险。

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2020-11-27
    • 2015-12-31
    • 2016-04-29
    • 2015-06-08
    • 1970-01-01
    相关资源
    最近更新 更多