CVE-2019-11244漏洞到底该如何修复?--关于缓存文件权限设置

最新推荐文章于 2024-06-26 14:50:46 发布
最新推荐文章于 2024-06-26 14:50:46 发布
阅读量575 收藏
点赞数
文章标签: 网络 操作系统
原文链接:https://my.oschina.net/renhc/blog/3081065
版权

2019年5月,Kubernetes社区(后面简称”社区“)修复了标号为CVE-2019-11244的安全漏洞,这个修复方案似乎并不彻底,于是有人发布Issue对此提出异议,希望提供进一步修复方案。

虽然Kubernetes已经非常安全,但对于一些安全标准更高的用户来讲,还是需要针对Kubernetes做进一步的安全加固。

本文先深度分析一下这个漏洞,看在什么情况下会产生安全风险,接着再探讨一下这个漏洞应该如何修复,以但给广大Kubernetes用户提供一些提示。

背景知识

为了能更好的理解这个漏洞,需要一些关于Linux 文件权限的基础知识。

也许你经常使用chmod命令来为某个文件设置权限,比如给某个文件设置权限:chmod 755 xxx。这里755为十进制数字分别代表文件Owner权限、文件Owner同组用户权限和其他用户权限,如下图所示:

在Linux下,使用ls命令可以看到文件的权限,如下图所示:

针对一个文件设置权限无非就是限制文件的读、写和可执行权限,那么如何理解一个目录的读、写和可执行权限呢? 跟据我小范围调查,大多数人不能很好的回答这个问题:一个用户对某个目录拥有读或写权限分别意味着什么?

漏洞描述

CVE-2019-11244漏洞原文描述如下:

In Kubernetes v1.8.x-v1.14.x, schema info is cached by kubectl in the location specified by --cache-dir (defaulting to $HOME/.kube/http-cache), written with world-writeable permissions (rw-rw-rw-). If --cache-dir is specified and pointed at a different location accessible to other users/groups, the written files may be modified by other users/groups and disrupt the kubectl invocation.

简单的理解就是kubectl创建的缓存文件权限为rw-rw-rw-,也即666,这些缓存文件有被其他用户修改的风险。

这里其他用户是包含两类:

  1. 同group下的其他用户(后面称group用户);
  2. 不同group的其他用户(后面称other用户);

那么修复这个漏洞,就要收缩这些文件权限,只要做到这些文件不能被这两类用户修改即可(可以拥有读权限)。

社区修复方案

kubectl会创建一个专门的目录来存放缓存文件,所以这里既要控制目录权限还要控制文件的权限。

在社区的修复方案中,缓存目录权限由755变成了750,即other用户将不能进入这个目录,Group用户仍拥有r-x权限,即可以读取目录下的文件列表、可以进入该目录。

针对缓存文件的修改,权限由755变成了660,这里有三个变化:

  1. Owner用户不再拥有可执行权限(缓存文件拥有可执行文件权限本身也没有意义);
  2. Group用户拥有rw-权限,即Group用户仍然可以修改缓存文件;
  3. Other用户不授予任何权限(即便有权限也无效,因为上层目录已不能访问);

看到这里,问题就清楚了,缓存文件仍然可以被Group用户修改,实际上漏洞并没有完全修复。 我们可以实际操作演示一下,这里如无特别说明表示使用root用户操作:

  1. 创建一个目录,并设置权限为755: # mkdir -m 0750 myPath0750
  2. 在目录中创建一个文件,并设置权限为660:# touch myPath0750/myFile0660; chmod 0660 myPath0750/myFile0660
  3. 创建一个root组用户,并设置密码:# useradd -G root -d /home/horen -m horen; passwd horen
  4. 切换到新用户,尝试修改文件内容:# echo "Hello" > myPath0750/myFile0660

可以发现文件是可以被修改的。

加固方案

也许社区的修复方案并不能满足你的安全要求,你仍然需要基于社区方案做一些安全加固,就是把缓存文件的权限进一步收缩,由660变为640,即Group用户最多只能查看缓存文件内容。

另外,由于目录权限为750,Group用户对该目录没有写权限,所以不能修改目录名,不能在该目录下创建文件,达到目录专用的目的。

这里也顺便总结一下目录的可读、可写和可执行三个权限的含义。其实目录本身也是文件,其内容是其子层目录结构,比如目录中的文件列表,文件属性等。

  • 可读:表示你可以列出目录中有什么文件;
  • 可写:表示你可以在目录中创建、删除文件;
  • 可执行:表示你可以进入该目录;

后续

社区的修复方案虽不彻底也可以降低风险,有需要的可以考虑升级。 社区方案已于2019年5月合入v1.12.9、v1.13.7、v1.14.3版本(当时1.15.0尚未发布)。

进一步修复该漏洞的建议不知能否被采纳,本文仅做参考。

转载于:https://my.oschina.net/renhc/blog/3081065

chuoyan8475
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CVE 漏洞的分析及复现
mkl7717的博客
05-20 1553
往下,调用了StringUtils.tokenizeToStringArray()方法,之前的/secret.html转化成了["secret.html"]这个数组,/./secret.html转换成了[".","secret.html"]/secret.html的 bypass 方式也是合理的,可能一些其他特殊字符也是可以的,前提是对请求并不造成影响,像..,#这类字符就会产生问题。继续往下走,判断 html 的目录与当前请求的目录是否相同,因为我们请求被拆分出来是。先说 PoC,未标准化路径造成。
【openEuler开源社区】如何为社区修复CVE漏洞
weixin_44569394的博客
06-18 3846
如何为openEuler开源社区修复CVE漏洞
漏洞修复:TLS Client-initiated重协商攻击(CVE-2011-1473)
u012785397的博客
05-14 2183
修复通过jsse实现的ssl/tls不安全的重协商漏洞
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)修复方法
热门推荐
晓梦林的博客
04-02 7万+
前言: 关于SSL/TLS协议信息泄露漏洞(CVE-2016-2183)的处理方法,网上教程一大堆。 我以 windows操作系统 为例,浅谈一下我对这个漏洞修复的理解。 一、win7操作系统 1、打开控制面板 打开网络和Internet 2、打开Internet 选项 3、选择高级 4、下滑选项 找到 TLS 只勾选 使用TLS 1.2 5、win+R 输入gpedit.msc 打开组策略编辑器 6、依次选择 计算机配置 管理模板 网络 SSL配置设置 并双击打开 7、点击已启用
Linux通用系统高危漏洞CVE-2024-1086)修复案例
最新发布
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
06-26 1118
2024年3月28日,监 Linux kernel权限提升漏洞CVE-2024-1086)的PoC/EXP在互联网上公开,该漏洞的CVSS评分为7.8,目前漏洞细节已经公开披露,美国网络安全与基础设施安全局(CISA)6月1日也更新了其已知漏洞(KEV)目录,要求联邦机构在 2024 年 6 月 20 日之前打上补丁,修复追踪编号为 CVE-2024-1086 的 Linux 内核权限提升漏洞。由于该漏洞的公开性,攻击者可能会利用这个漏洞进行恶意攻击,因此建议尽快采取修复措施。
CVE 2019-0708漏洞复现防御修复
weixin_30344995的博客
09-07 379
CVE-2019-0708 Windows再次被曝出一个破坏力巨大的高危远程漏洞CVE-2019-0708。攻击者一旦成功利用该漏洞,便可以在目标系统上执行任意代码,包括获取敏感信息、执行远程代码、发起拒绝服务攻击等等攻击行为。而更加严重的是,这个漏洞的触发无需用户交互,攻击者可以用该漏洞制作堪比2017年席卷全球的WannaCry类蠕虫病毒,从而进行大规模传播和破坏。 影响范...
CVE-2018-17182:Linux内核VMA-UAF提权突破(CVE-2018-17182),0天
03-20
由白帽黑客Jann Horn发现,内核突破(CVE-2018-17182)是Linux内存管理磁盘中的缓存错误,导致释放后使用漏洞, 如果被利用,可能允许攻击者获得root权限目标系统上的特权。 免费使用后(UAF)攻击是一类内存损坏...
上海Linux运维工程师-面试题-个人总结).docx
10-30
每年的系统漏洞包括缓冲区溢出、权限提升、注入攻击等,具体需关注CVE公告。应对策略包括及时打补丁、加固系统、限制不必要的网络服务等。 【MySQL高可用性】 MySQL高可用方案可采用主从复制、双活集群或MySQL ...
struts-1.2.9-modify-by-selfimpr.jar
03-30
- **漏洞修复**:Struts 1在历史上存在一些已知的安全漏洞,比如著名的CVE-2017-5638,开发者可能已经修复了这些问题。 - **安全配置**:增强了安全配置,如限制非法HTTP方法,防止XSS、CSRF攻击。 5. **易用性...
让Struts 1焕发青春----小议对Struts的改造.
03-05
- **漏洞修复**:关注并及时修复Struts 1的安全漏洞,例如著名的CVE-2017-5638“Apache Struts2远程代码执行”漏洞。 - **输入验证**:强化数据验证,使用过滤器或自定义ActionForm验证用户输入,防止XSS、SQL注入...
struts-2.5.16-min-lib
05-01
Struts2 2.5.16版本虽然包含了重要的安全更新,但历史上Struts2曾爆出过严重漏洞,如CVE-2017-5638(S2-045)。因此,保持框架及时更新对于避免安全风险至关重要。 5. **最佳实践**: - 使用最新稳定版本,定期...
cve-2019-2725修复相关的补丁p29694149_10360190115_Generic.zip
06-03
cve-2019-2725修复相关的补丁和jdk等 cve-2019-2725补丁安装过程中使用到的材料 仅用于学习,如果用于商业,产生版权纠纷,与本人无关。
网络安全】CVE 漏洞分析以及复现
msb_114的博客
04-28 964
记一次CVE 漏洞分析以及复现
漏洞学习篇:CVE漏洞复现
dzqxwzoe的博客
02-04 1462
1、200份很多已经买不到的绝版电子书 2、30G安全大厂内部的视频资料 3、100份src文档 4、常见安全面试题 5、ctf大赛经典题目解析 6、全套工具包 7、应急响应笔记 8、网络安全学习路线。Apache HTTP Server 是 Apache 基础开放的流行的 HTTP 服务器。攻击者利用这个漏洞,可以读取到Apache服务器Web目录以外的其他文件,或者读取Web中的脚本源码,或者在开启cgi或cgid的服务器上执行任意命令。可以看见,apache是49版本的。这里用vulhub环境。
如何修复主机漏洞
山兔的博客
06-02 1114
先用mstsc远程连接服务器,然后在服务器中打开浏览器,搜索我们的漏洞修复方法,有补丁的就去官网打补丁,没有的就按照修复建议来,补丁打不上去的,就下载360来打,选择主机修复,选中有补丁的选项,一键修复 修复完之后,记得卸载,因为有弹窗,很让人讨厌 然后问下客户,服务器能不能重启,能得话,就重启,到时候在连上去看一下,情况,不能就算,就跟客户说一下,有些配置,要重启才能生效,看客户怎么想了......
CVE-2016-4977(Spring-Security-Oauth)RCE远程命令执行漏洞复现(超详细版!)
精品博客,你值得一看~
09-02 1086
它是为了解决企业应用开发的复杂性而创建的。Spring Security OAuth2处理认证请求的时候如果使用了whitelabel视图,response_type参数值会被当做Spring SpEL来执行,恶意攻击者通过构造response_type值可以触发远程代码执行漏洞。#按 " i "进行编辑 ,然后复制下面的脚本 , 再按 " Esc "键 ,再按冒号wq " :wq " 保存并退出.先cd到spring目录下的CVE-2016-4977里面,然后使用docker-compose启动环境.
记录一次利用jboss任意生成代码漏洞批量获取shell
kelenwait的博客
03-31 674
记录一次利用jboss任意生成代码漏洞批量获取shell 漏洞简介 漏洞编号:CVE-2007-1036 此漏洞主要是由于JBoss中/jmx-console/HtmlAdaptor路径对外开放,并且没有任何身份验证机制,导致攻击者可以进入到jmx控制台,并在其中执行任何功能,该漏洞利用的是后台中jboss.admin -> DeploymentFileRepository -> store()方法,通过向四个参数传入信息,可上传shell。 渗透步骤 搭建或者寻找存在jboss的主机 可通
windowsserver 2016 PostgreSQL9.6.3-2升级解决其安全漏洞问题
diaya的专栏
02-07 1514
此外,系统还装了postgis,所以这里postgis也需要升级成相应的版本:postgis-bundle-pg12x64-setup-3.4.1-1.exe。加了后,发现还是有下面问题,最后在网上找到方法,将C:\Users\Administrator\AppData\Roaming\pgAdmin目录下的所有文件全部删除,才将此问题解决。备份的格式尽量为sql。PostgreSQL 输入验证错误漏洞(CVE-2019-10211)PostgreSQL SQL注入漏洞(CVE-2019-10208)
cve-2019-2890的漏洞详情
03-29
CVE-2019-2890是一种Oracle WebLogic Server远程代码执行漏洞,存在于WebLogic Server的WLS Security组件中。攻击者可以利用该漏洞通过发送特定的HTTP请求实现远程代码执行,从而控制受影响的服务器。 该漏洞的根本...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值