K8s爆严重安全漏洞?有何应对措施与建议

最新推荐文章于 2024-08-15 23:22:41 发布
最新推荐文章于 2024-08-15 23:22:41 发布
阅读量1.4k 收藏
点赞数
分类专栏: CCE 云容器 容器魔方 华为云 k8s
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42849832/article/details/84838672
版权

Kubernetes最近爆出严重安全漏洞,影响几乎目前所有的版本。实际影响究竟多大?老版本用户是否必须升级?以下是华为云容器服务团队对该漏洞的分析解读。

Kubernetes爆出的严重安全漏洞:

攻击者通过构造特殊请求,可以在一个普通权限的链接上提升权限,向被代理的后端服务器发送任意请求。

该问题影响了几乎Kubernetes目前所有的版本,包括:

Kubernetes v1.0.x-1.9.x

Kubernetes v1.10.0-1.10.10 (fixed in v1.10.11)

Kubernetes v1.11.0-1.11.4 (fixed in v1.11.5)

Kubernetes v1.12.0-1.12.2 (fixed in v1.12.3)

什么样的集群可能被攻击?

集群启用了扩展API server,并且kube-apiserver与扩展API server的网络直接连通;

集群对攻击者可见,即攻击者可以访问到kube-apiserver的接口,如果你的集群是部署在安全的私网内,那么不会有影响;

集群开放了 pod exec/attach/portforward 接口,则攻击者可以利用该漏洞获得所有的kubelet API访问权限。

再看具体影响的场景

集群使用了聚合API,只要kube-apiserver与聚合API server的网络直接连通,攻击者就可以利用这个漏洞向聚合API服务器发送任何API请求;

如果集群开启了匿名用户访问的权限,则匿名用户也利用这个漏洞。不幸的是K8s默认允许匿名访问

最低0.47元/天 解锁文章
云容器大师
关注
专栏目录
K8S 生态周报| Kubernetes 出全版本漏洞
k8s 生态
09-19 624
“「K8S 生态周报」内容主要包含我所接触到的 K8S 生态相关的每周值得推荐的一些信息。欢迎订阅知乎专栏「k8s生态」[1]。”大家好,我是张晋涛。Kubernetes CVE-2022-3172 安全漏洞扩展 Kubernetes 的方法有很多种,目前扩展 API 方面用到最多的是 自定义资源定义(CRD)和聚合 API(Aggregation API)。 自定义资源定义主要是为了让 Kube...
浅谈云上攻防——CVE-2020-8562漏洞为k8s带来的安全挑战
YDclub的博客
10-25 1136
前言 2021年4月,Kubernetes社区披露了一个编号为CVE-2020-8562的安全漏洞,授权用户可以通过此漏洞访问 Kubernetes 控制组件上的私有网络。 通过查阅此漏洞披露报告可发现,这个漏洞拥有较低的CVSS v3评分,其分值仅有2.2分,与以往披露的Kubernetes高危漏洞相比,这个拥有较低评分的漏洞极其容易被安全研究人员以及运维人员所忽视。但经过研发测试发现,在实际情况中,这个低风险的漏洞却拥有着不同于其风险等级的威胁:在与云上业务结合后,CVE-2020-8562漏洞将会
【kubernetes】k8s安全机制
最新发布
qq_54188720的博客
08-15 1039
客户端若想要发送请求给apiserver操作管理K8S资源对象,需要先通过三关安全验证:认证(Authentication)、鉴权(Authorization)、准入控制(Admission Control)
k8s安全测评漏洞:SSL/TLS协议信息泄露漏洞(CVE-2016-2183)
Yang_RR的博客
05-09 1334
k8s组件使用了IDEA、DES和3DES等算法,修改配置文件禁用上述算法即可。
【独家】K8S漏洞报告 | 近期bug fix解读
weixin_30929011的博客
04-19 173
安全漏洞CVE-2019-3874分析 Kubernetes近期重要bug fix分析 Kubernetes v1.13.5 bug fix数据分析 ——本周更新内容 安全漏洞CVE-2019-3874分析 3月21日,Kubernetes社区通过Google Group频道Kubernetes developer/contributor discussion发布了安全漏洞C...
K8S安全漏洞应对之策:API Server拒绝服务漏洞
Rancher
03-08 384
Kubernetes出中等严重安全漏洞——Kubernetes API Server拒绝服务漏洞CVE-2019-1002100。 本文将进行漏洞解读和情景再现,并分享漏洞修复方案,Rancher用户来看应对之策了! CVE-2019-1002100漏洞 美国当地时间2019年3月2日,Kubernetes社区发布了Kubernetes API server拒绝服务的漏洞(CVE-2019...
【安全通知】NPM遭遇供应链投毒攻击窃取K8S集群凭证.pdf
09-18
【安全通知】NPM遭遇供应链投毒攻击窃取K8S集群凭证的事件揭示了当前网络安全面临的一个严重问题。NPM(Node Package Manager)作为JavaScript社区最广泛使用的包管理器,已经成为攻击者瞄准的目标,他们利用恶意包...
零信任策略下K8s安全监控最佳实践(K+)
阿里云技术
09-19 580
本文重点将围绕监控防护展开,逐层递进地介绍如何在复杂的分布式容器化环境中借助可观测性平台,持续监控K8s集群,及时发现异常的 API 访问事件、异常流量、异常配置、异常日志等行为,并且结合合理的告警策略建立更主动的安全防御体系。
10. K8S_Linux-k8s控制器-Deployment安全性配置
# 1. 理解Kubernetes中的Deployment控制器 ## 1.1 什么是Kubernetes中的Deployment控制器? 在Kubernetes中,Deployment控制器是一种资源对象,用于定义应用程序的部署方式,并确保部署的稳定性和可靠性。...
扒一扒过去一年K8S高危漏洞都有哪些?
力哥讲技术
03-13 1368
在过去的一年里,Kubernetes继续稳固其在关键基础设施领域的地位,成为无论是小型还是大型组织都广受欢迎的选择。然而,随着更多开发人员将Kubernetes部署与其他云原生组件相结合,构建出更加完善的工作系统时,这也使得Kubernetes更容易遭受攻击。更多的组件和更加复杂的基础架构也增加了易受攻击的范围,这是需要我们运维人员关注的。根据 Red Hat 的2022 年 Kubernetes 安全状况报告:https://www.redhat.com/rhdc/managed-files/cl-sta
K8s攻击案例:组件未授权访问导致集群入侵
12-25 8453
K8s集群往往会因为组件的不安全配置存在未授权访问的情况,如果攻击者能够进行未授权访问,可能导致集群节点遭受入侵。比较常见的的组件未授权访问漏洞,主要包括 API Server 未授权访问、kubelet 未授权访问、etcd 未授权访问、kube-proxy 不安全配置、Dashboard未授权访问。接下来,我们将对这几个未授权访问的攻击场景和攻击过程进行详细的分析。01、 API Server...
k8s安全机制
孔小发
10-09 649
https://jiayi.space/post/kubernetescong-ru-men-dao-fang-qi-4-an-quan-ji-zhi
多种方案图文并茂分分钟教你解决Kubernetes(k8s)容器安全问题(不断更新中)
tangdou369098655的博客
06-17 1116
在Kubernetes中,securityContext是一个非常重要的概念,用于设定Pod或容器级别的安全选项。它允许你控制容器的运行权限、用户标识、SELinux选项等,从而增强容器的安全性。
DevSecOps 需要知道的十大 K8s 安全风险及建议
分享 GPU 管理与大模型推理相关技术实践
12-28 664
Kubernetes (K8s)是现代云原生世界中的容器管理平台。它实现了灵活、可扩展地开发、部署和管理微服务。K8s 能够与各种云提供商、容器运行时接口、身份验证提供商和可扩展集成点一起工作。然而。根据 Red Hat 的 2022 年 K8s 安全报告,在过去 12 个月的过程中,几乎所有参与研究的 K8s 用户都经历过至少一次安全事件。因此,可以说 K8s 环境在默认情况下并不安全,并且容易面临风险。本文将讨论 10 大 K8s 安全风险,并就如何避免这些风险给出提示。
k8s安装隐患如何优化?从以下维度分享
weixin_38320674的博客
11-01 462
k8s全称kubernetes,这个名字大家应该都不陌生,k8s是为容器服务而生的一个可移植容器的编排管理工具,越来越多的公司正在拥抱k8s,并且当前k8s已经主导了云业务流程,推动了微服...
【云攻防系列】从攻击者视角聊聊K8S集群安全(上)
xnxqwzy的博客
07-29 365
作为云原生管理与编排系统的代表,Kubernetes(简称K8S)正受到越来越多的关注,有报告[1]显示,96% 的组织正在使用或评估K8S,其在生产环境下的市场占有率可见一斑。K8S 的功能十分强大,其系统复杂性也同样较高,一般而言,程序越复杂则越容易存在安全问题,自然而然地,K8S 集群也同样面临着严重的安全威胁,如 K8S组件的未授权访问、容器逃逸和横向攻击等。我们说攻和防是相互促进、相伴而生的,作为相关安全人员首先应该从整体上把握业务架构可能面临的安全威胁才有可能做好防护。
K8s生产环境安全挑战与应对策略详解
1. **组件安全**:K8s自身的组件、容器运行时和操作系统都需要保持安全,如通过使用可信源安装、定期更新和维护操作系统审计日志来确保其安全性。 2. **供应链攻击**:由于容器镜像的管理和使用,容易受到恶意镜像、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值