K8S 生态周报| Kubernetes 爆出全版本漏洞

最新推荐文章于 2024-06-20 15:00:00 发布
最新推荐文章于 2024-06-20 15:00:00 发布
阅读量607 收藏
点赞数
文章标签: java python linux kubernetes 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tao12345666333/article/details/126945190
版权

「K8S 生态周报」内容主要包含我所接触到的 K8S 生态相关的每周值得推荐的一些信息。欢迎订阅知乎专栏「k8s生态」[1]

大家好,我是张晋涛。

Kubernetes CVE-2022-3172 安全漏洞

扩展 Kubernetes 的方法有很多种,目前扩展 API 方面用到最多的是 自定义资源定义(CRD)和聚合 API(Aggregation API)。 自定义资源定义主要是为了让 Kubernetes 集群中可以识别到新的资源,此处我主要说明下后者。

聚合 API 实际上是在 kube-apiserver 中运行的,在新 API 注册之前,它并不会工作。如果要添加新的 API,则需要创建一个APIService 对象,用来申请 Kubernetes 中新的 URL 路径。注册成功后,当有发送到此路径中的请求,则会被转发到已经注册 的 APIService 上。

本次公布的 CVE-2022-3172 便与聚合 API 有关。

就像我前面介绍的那样,当新的 URL 被注册成功后,发送到该路径的请求便会被转发到已经注册的 APIService 上。 安全人员发现,目前的实现中存在一个漏洞,APIService 可以将客户端的请求转发到任意的 URL 上,这就有可能会导致 Client 发送请求时,所携带的一些认证信息可能会被发送给第三方。

这也就是我们在安全领域常提到的 SSRF(Server Side Request Forgery),即:服务端请求伪造。 与之对应的是 CSRF(Client Side Request

最低0.47元/天 解锁文章
张晋涛-MoeLove
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
漏洞复现】Kubernetes PPROF内存泄漏漏洞(CVE-2019-11248)
晚风不及你
01-16 3641
Kubernetes(简称K8S)是Google在2014年开源的一个容器集群管理系统。它用于容器化应用程序的部署、扩展和管理,目标是让部署容器化应用简单且高效。
修复 K8s SSL/TLS 漏洞(CVE-2016-2183)指南
热门推荐
KubeSphere
02-21 1万+
测试服务器配置主机名IPCPU内存系统盘数据盘用途2440200Ansible 运维控制节点41640200+20041640200+20041640200+2002840200+2002840200+2002840200+200harbor2840200Harbor合计822843202800测试环境涉及软件版本信息2.8.203.3.0v1.24.19.5.17.17.52.5.1。
多个Kubernetes 高危漏洞可用于在 Windows 端点执行远程攻击
smellycat000的专栏
09-14 184
聚焦源代码安,网罗国内外最新资讯!编译:代码卫士Kubernetes 中存在三个相互关联的高危漏洞,可用于以提升权限在集群的Windows 端点上实现远程代码执行。这些漏洞是CVE-2023-3676、CVE-2023-3893和CVE-2023-3955,CVSS评分为8.8,影响所有具有Windows 节点的K8s 环境。经 Akamai 公司在2023年7月13日报送后,修复方案已在20...
Kubernetes&K8s及渗透
最新发布
ZL_1618的博客
06-20 783
从时代发展的角度看,网络安的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
K8S漏洞修复
weixin_50712581的博客
06-12 1227
客户环境存在K8S漏洞 分别是:Kubernetes kube-apiserver 输入验证错误漏洞(CVE-2021-25735) Kubernetes kube-apiserver信息泄露漏洞(CVE-2021-25737) 这两个漏洞官方给的建议就是升级到他们修复的版本。 以及因为api-server组件引起的openssl漏洞
KubeSphere 对 Apache Log4j 2 远程代码执行最新漏洞的修复方案
KubeSphere
12-15 2336
Apache Log4j 2 是一款开源的日志记录工具,被广泛应用于各类框架中。近期,Apache Log4j 2 被爆出存在漏洞漏洞现已公开,本文为 KubeSphere 用户提供建议的修复方案。 此次漏洞是由于 Log4j 2 提供的 lookup 功能造成的,该功能允许开发者通过一些协议去读取相应环境中的配置。但在实现的过程中,并未对输入进行严格的判断,从而造成漏洞的发生。由于大量的软件都使用了 Log4j 2 插件,所以大量的 Java 类产品均被波及,包括但不限于 Apache Solr、srp
k8s-auto-kubernetes/k8s一键安装
12-15
kubernetes/k8s自动安装程序,版本对应:v1.18.2,linux环境 使用kubeadm安装,改程序若环境不符合要求,是不能一键安装的,需按照程序指示分布安装,该程序是为了搭建测试环境时,简化繁琐的配置时所用,不能用作...
Kubernetes(K8S)超快速入门视频教程
11-05
Kubernetes(K8S)是Google在2014年发布的一个开源项目,用于自动化容器化应用程序的部署、扩展和管理。Kubernetes通常结合docker容器工作,并且整合多个运行着docker容器的主机集群。 适用人群 零基础以及有一定运维...
k8s镜像kubernetes最新版本v1.19.3
09-02
k8s-imagesv1.19.3.tar.gz kubernetes最新版本v1.19.3,如果有需要可直接进行下载,谢谢大家的关注,以后会多上传很多有用的镜像大家一起分享
k8s-utils:Kubernetes实用程序帮助脚本
01-31
`k8s-utils` 是一个专为 Kubernetes(简称 k8s)设计的工具集合,它包含了一系列的 Bash 脚本,旨在简化在 Kubernetes 集群中的日常管理和运维任务。这些脚本主要面向开发人员、操作工程师以及对 Kubernetes 有深入...
K8sKubernetes)架构培训笔记.pdf
10-14
Kubernetes(简称K8s),是一个自动部署、扩展和管理容器化应用程序的开源系统。它提供了一个灵活、可扩展、可靠的平台,用于自动部署、扩展和管理容器化应用程序。 Kubernetes架构概览 --------------------------...
KubePi JwtSigKey登陆绕过漏洞(CVE-2024-22463),网络安开发者面试如何系统复习
2301_79058515的博客
04-15 830
KubePi 是一个现代化的 K8s 面板。KubePi 允许管理员导入多个 Kubernetes 集群,并且通过权限控制,将不同 cluster、namespace 的权限分配给指定用户。它允许开发人员管理 Kubernetes 集群中运行的应用程序并对其进行故障排查,供开发人员更好地处理 Kubernetes 集群中的复杂性。
【独家】K8S漏洞报告 | 近期bug fix解读
weixin_30929011的博客
04-19 162
漏洞CVE-2019-3874分析 Kubernetes近期重要bug fix分析 Kubernetes v1.13.5 bug fix数据分析 ——本周更新内容 安漏洞CVE-2019-3874分析 3月21日,Kubernetes社区通过Google Group频道Kubernetes developer/contributor discussion发布了安漏洞C...
【中危】Kubernetes secrets-store-csi-driver 信息泄露漏洞
murphysec的博客
06-19 1459
Kubernetes secrets-store-csi-driver 是一个用于 Kubernetes 的 CSI 驱动程序,它提供了一种将外部密钥存储系统中的凭据注入到 Kubernetes Pod 的机制。在 secrets-store-csi-driver 受影响版本中,当在 CSIDriver 对象中配置了 TokenRequests 并且将驱动程序日志设置为级别 2 或更高的级别时,会将服务账号令牌记录到日志中。攻击者访问日志时可以获取到这些敏感信息。
kubernetes_2020年Kubernetes漏洞及其修复方法
weixin_26722031的博客
07-31 2044
kubernetesVulnerabilities in open source are vital to a lot of organizations and developers are paying close attention to. Any little breach can be very bad, especially when it comes to container orch...
K8S 生态周报| Kubernetes 公布两个版本受影响的漏洞
k8s 生态
06-22 240
“「K8S 生态周报」内容主要包含我所接触到的 K8S 生态相关的每周值得推荐的一些信息。欢迎订阅知乎专栏「k8s生态」[1]。”大家好,我是张晋涛。KIND v0.20.0 正式发布KIND 是我一直参与,也日常一直在使用的项目,用于快速的在本地或者 CI 环境中启动 Kubernetes 集群。上周新发布的 v0.20.0 版本有很多值得关注的内容:Breaking Changes当前 KIN...
k3s证书过期的处理 以及 修改k3s证书有效期为10年(或自定义时间)
wangxi83的博客
04-24 4804
1、常规操作 由于k3s证书的默认过期时间是12个月,因此到期之前或不小心到期,需要轮换 其实官网有明确的说明以及处理办法——但是你会发现按照官方处理办法,基本上无法生效 这里给一个一定可行的办法 # 在其中一个节点上执行 k3s kubectl --insecure-skip-tls-verify=true delete secret k3s-serving -n kube-system # 在每个节点上执行 rm -rf /var/lib/rancher/k3s/server/tls/dynamic-
『高级篇』docker之kubernetes基础集群部署(下)(34)
IT架构圈博客
02-21 261
原创文章,欢迎转载。转载请注明:转载自IT人故事会,谢谢! 原文链接地址:『高级篇』docker之kubernetes基础集群部署(下)(34) 这次继续集群的部署simple版本(下)。源码:https://github.com/limingios/msA-docker k8s分支和https://github.com/limingios/kubernetes-starter ...
KubePi <1.6.4 存在会话固定漏洞(CVE-2023-22479)
murphysec的博客
01-11 708
1.6.4 之前版本的 KubePi 在用户登录后未刷新用户 cookie,攻击者可通过诱导用户点击恶意链接等劫持用户的会话信息,从而接管 KubePi 用户账户。
K8S 1.18.6对应的kubernetes-cni插件版本
06-03
Kubernetes版本和CNI插件版本之间的对应关系可以参考Kubernetes官方文档中的CNI插件支持矩阵。根据文档中的描述,Kubernetes 1.18.6版本建议使用如下版本的CNI插件: - CNI插件版本:v0.8.6 - CNI-IPAM插件版本:v0.7.6 需要注意的是,不同版本的CNI插件可能存在差异,因此在安装和配置CNI插件时,应该根据实际的Kubernetes版本和网络需求进行选择和配置。同时,也可以通过使用Kubernetes官方提供的工具来自动化地安装和部署CNI插件。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

张晋涛-MoeLove

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值