K8S 生态周报| 几乎影响所有 k8s 集群的漏洞

最新推荐文章于 2023-06-12 17:33:17 发布
最新推荐文章于 2023-06-12 17:33:17 发布
阅读量434 收藏
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tao12345666333/article/details/106866683
版权
本文介绍了Docker v19.03.11的安全修复,该修复针对IPv6路由地址广播漏洞CVE-2020-13401,防止地址欺骗。同时讨论了Kubernetes中CNI插件的漏洞CVE-2020-10749,影响多个版本的kubelet。建议更新组件至最新版本,禁用不必要的RA消息接收和CAP_NET_RAW能力,以增强集群安全性。此外,提到了Docker Compose v1.26.0的新特性,以及Kube-OVN v1.2的高性能改进。
摘要由CSDN通过智能技术生成

「K8S 生态周报」内容主要包含我所接触到的 K8S 生态相关的每周值得推荐的一些信息。欢迎订阅知乎专栏「k8s 生态」 ( https://zhuanlan.zhihu.com/container )。

1

   

Docker v19.03.11 发布

距离 v19.03.10 发布仅一周时间,Docker 又发布了新版本 v19.03.11 。此版本是一个安全修复版本,通过禁用了 IPv6 路由地址广播(RA)从而防止地址欺骗,对应的漏洞为 CVE-2020-13401 ( https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-13401 ) 。

在 Docker 的默认配置中,容器网络接口是指向主机(veth 接口)的虚拟以太网链接,在此配置下,如果一个攻击者可以在容器中以 root 身份运行进程的话,那么他是可以使用 CAP_NET_RAW 能力,向主机任意发送和接收数据包的。

例如:在容器内使用 root 用户,可以正常执行 ping 命令

(MoeLove) ➜  ~ docker run --rm -it -u root redis:alpine sh
/data # whoami
root
/data # ping -c 1 moelove.info
PING moelove.info (185.199.108.153): 56 data bytes
64 bytes from 185.199.108.153: seq=0 ttl=49 time=54.389 ms


--- moelove.info ping statistics ---
1 packets transmitted, 1 packets received, 0% packet loss
round-trip min/avg/max = 54.389/54.389/54.389 ms

在容器内使用非 root 用户,执行 ping 命令会提示无权限

(MoeLove) ➜  ~ docker run --rm -it -u redis redis:alpine sh
/data # whoami
redis
/data $ ping -c 1 moelove.info
PING moelove.info (185.199.109.153): 56 data bytes
ping: perm
最低0.47元/天 解锁文章
张晋涛-MoeLove
关注
K8s集群所有细节部署文档
03-17
K8s集群所有细节部署文档 内容简介: 1、组件版本和配置策略 2、系统初始化和全局变量 3、创建CA证书和密钥 4、部署kubectl命令行工具 5、部署etcd集群 6、部署flannel网络 7、部署master节点 8、部署woker节点 9、...
解决容器无法使用ping命令
爱吃鱼的小明的博客
09-24 6003
1.因为不是root用户拒绝了我 bash-5.0$ ping 172.18.0.4 PING 172.18.0.4 (172.18.0.4): 56 data bytes ping: permission denied (are you root?) #无法直接切换到root bash-5.0$ su root su: must be suid to work properly 2.排查ping 命令的位置 bash-5.0$ which ping /bin/ping #进入bin目录查
pod里使用ping或者permission denied等权限问题
落雪映青衣的博客
08-01 2885
k8s Security Context配置
云原生|kubernetes|pod或容器的安全上下文配置解析
zsk_john的技术分享专用博客
01-08 1061
​ 若要为 Container 设置安全性配置,可以在 Container 清单中包含securityContext字段。securityContext字段的取值是一个SecurityContext对象。你为 Container 设置的安全性配置仅适用于该容器本身,并且所指定的设置在与 Pod 层面设置的内容发生重叠时,会重写 Pod 层面的设置。Container 层面的设置不会影响到 Pod 的卷。说人话就是pod和容器两个层面都可以设置securitycontext,如果是多容器,比如,某个
在Pod中执行目录操作,提示Permission denied
lovely_nn的博客
04-21 2262
问题:进入Pod执行创建文件的操作,出现如下报错 $ kubectl exec -it jenkins-5b688ddcc7-h72f2 -n cicd bash $ touch test touch: cannot touch 'test': Permission denied 解决:因为这里通过K8S exec进入Pod的用户是普通用户,而修改文件我们需要root权限,K8S exec命令目前没有找到指定用户的相关参数,但是Docker的exec命令可以通过-u指定root用户,那么可以通过docke
k8s对外攻击面总结
ATpiu的博客
12-19 9490
k8s对外攻击面总结/k8s漏洞
k8s搭建Nacos集群
05-26
k8s搭建Nacos集群,制作Java运行容器镜像,再制作Nacos镜像 Nacos版本是:2.1.0 说明: 如果想搭建:2.2.0也根据文档步骤操作即可
k8s安装Nacos集群
05-21
k8s搭建Nacos集群,制作Nacos镜像 Nacos版本是:2.0.2
k8s集群环境搭建资源
最新发布
10-27
k8s集群环境的搭建是一项复杂而重要的任务,它涉及到多个组件的安装配置,包括Master节点和Worker节点,以及网络策略、存储、安全等多方面的设置。下面我们将详细探讨k8s集群环境搭建的相关知识点。 1. **Master...
k8s集群canal-server的伪高可用实践
01-07
k8s集群canal-server的伪高可用实践前言问题解决方案总结 前言 前面我们已经介绍了canal的admin、server、adapter三个部分的容器化以及在k8s集群下的搭建过程。在创建canal-server的时候,k8s环境下,容器重启会...
修复 K8s SSL/TLS 漏洞CVE-2016-2183)指南
热门推荐
KubeSphere
02-21 1万+
测试服务器配置主机名IPCPU内存系统盘数据盘用途2440200Ansible 运维控制节点41640200+20041640200+20041640200+2002840200+2002840200+2002840200+200harbor2840200Harbor合计822843202800测试环境涉及软件版本信息2.8.203.3.0v1.24.19.5.17.17.52.5.1。
扒一扒过去一年K8S高危漏洞都有哪些?
力哥讲技术
03-13 1368
在过去的一年里,Kubernetes继续稳固其在关键基础设施领域的地位,成为无论是小型还是大型组织都广受欢迎的选择。然而,随着更多开发人员将Kubernetes部署与其他云原生组件相结合,构建出更加完善的工作系统时,这也使得Kubernetes更容易遭受攻击。更多的组件和更加复杂的基础架构也增加了易受攻击的范围,这是需要我们运维人员关注的。根据 Red Hat 的2022 年 Kubernetes 安全状况报告:https://www.redhat.com/rhdc/managed-files/cl-sta
Kubernetes(k8s集群渗透
weixin_45253622的博客
08-27 1794
Kubernetes,又称为 k8s,是一种可自动实施Linux容器操作的开源平台,可以帮助用户省去应用容器化过程的许多手动部署和扩展操作,也就是说,它可以将运行 Linux 容器的多组主机聚集在一起并轻松高效地管理这些集群。......
Kubernetes 安全系列之: ETCD证书暴露攻击
SRE进阶之路
08-31 653
据悉,一个运行在单节点 Kubernetes 上的证书管理工具能够读取 TLS 证书以访问 API server的 etcd 存储。黑客将利用此读取访问权限来获取其他的权限级别从而掌控系统。本文将重现攻击以验证漏洞并了解如何修复它。...
k8s学习记录-细节学习与攻击利用
Shanfenglan's blog
01-18 1738
文章目录1. serviceaccount2. RBAC3. sercret4. ConfigMap5. cgroup、Procfs、Ptrace6. K8s Pod Security Policies参考文章 1. serviceaccount 本来只有节点机器可以访问api server,容器是无法访问apiserver的,如果在创建容器的时候给其配置了serviceaccount,那么这个容器也会有权限访问api server。 如果不配置serviceaccount,则会使用默认的default账号
K8S云原生环境渗透学习
weixin_50464560的博客
05-15 1460
转载至​​​​​​K8S云原生环境渗透学习 - 先知社区 K8S云原生环境渗透学习 前言 ​ Kubernetes,简称k8s,是当前主流的容器调度平台,被称为云原生时代的操作系统。在实际项目也经常发现厂商部署了使用k8s进行管理的云原生架构环境,在目前全面上云的趋势,有必要学习在k8s环境的下的一些攻击手法。 k8s用户 Kubernetes 集群中包含两类用户:一类是由 Kubernetes管理的service account,另一类是普通用户。 service account 是由
k8s漏洞-CVE-2016-2183修复
weixin_45912745的博客
10-10 2603
k8s漏洞-CVE-2016-2183修复
kubernetes的etcd、kubelet和kube-api CVE-2016-2183 漏洞解决
wisheen的专栏
08-15 3560
kubernetes etcd kubelet kube-api CVE-2016-2183 漏洞解决
K8S漏洞修复
weixin_50712581的博客
06-12 1885
客户环境存在K8S漏洞 分别是:Kubernetes kube-apiserver 输入验证错误漏洞(CVE-2021-25735) Kubernetes kube-apiserver信息泄露漏洞(CVE-2021-25737) 这两个漏洞官方给的建议就是升级到他们修复的版本。 以及因为api-server组件引起的openssl漏洞
基于K8s 1.8.3版本的集群搭建指南
K8s集群搭建手册(超级详细) Kubernetes(简称K8s)是一种开源容器编排系统,可以自动化部署、扩展和管理容器化应用程序。以下是K8s集群搭建手册的详细步骤。 环境准备 在开始搭建K8s集群之前,需要准备好服务器...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

张晋涛-MoeLove

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值