K8S 生态周报| 深入源码剖析 Kubernetes 的漏洞

最新推荐文章于 2024-08-05 10:52:57 发布
最新推荐文章于 2024-08-05 10:52:57 发布
阅读量361 收藏
点赞数
文章标签: kubernetes 容器 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tao12345666333/article/details/128026892
版权
本文介绍了Kubernetes的两个重要安全漏洞:CVE-2022-3162和CVE-2022-3294。这两个漏洞涉及API服务器中的权限问题,可能导致资源泄露或未经授权的操作。文章详细阐述了漏洞的触发条件、影响范围和修复措施,并提醒用户注意升级带来的潜在问题。此外,还预告了即将发布的Kubernetes v1.26.0的重点内容。
摘要由CSDN通过智能技术生成

「K8S 生态周报」内容主要包含我所接触到的 K8S 生态相关的每周值得推荐的一些信息。欢迎订阅知乎专栏「k8s生态」[1]

大家好,我是张晋涛。

上游进展

Kubernetes 发布了 v1.22.16 和 1.23.14,1.24.8,1.25.4等版本,其中最重要的就是以下两个安全漏洞了。

CVE-2022-3162

当用户被授权允许在集群范围内 list 或 watch 某个 namespace 范围的自定义资源时,可以读取在同一 API 组下,不同类型的其他自定义资源。

这个漏洞影响范围是:

  • kube-apiserver v1.25.0 - v1.25.3

  • kube-apiserver v1.24.0 - v1.24.7

  • kube-apiserver v1.23.0 - v1.23.13

  • kube-apiserver v1.22.0 - v1.22.15

  • kube-apiserver < v1.21.?

CVE-2022-3294

我们平时如果想要进入 Pod 内进行操作(即 kubectl exec)的时候,它的过程是:

  • kubectl -> kube-apiserver:

kubectl 会请求 /api/v1/namespaces/<ns>/pods/<pod>/exec 到 kube-apiserver,实际的代码也很简单

最低0.47元/天 解锁文章
张晋涛-MoeLove
关注
深入浅出学K8s.zip
08-17
开篇 | 如何深入掌握 Kubernetes云原生基石:初识 Kubernetes 01 | 前世今生:Kubernetes 是如何火起来的? 02 | 高屋建瓴:Kubernetes 的架构为什么是这样的? 03 | 集群搭建:手把手教你玩转 Kubernetes 集群...
k8s漏洞列表
SHELLCODE_8BIT的博客
07-20 302
Official CVE Feed | Kubernetes
多个Kubernetes 高危漏洞可用于在 Windows 端点执行远程攻击
smellycat000的专栏
09-14 200
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Kubernetes 中存在三个相互关联的高危漏洞,可用于以提升权限在集群的Windows 端点上实现远程代码执行。这些漏洞CVE-2023-3676、CVE-2023-3893和CVE-2023-3955,CVSS评分为8.8,影响所有具有Windows 节点的K8s 环境。经 Akamai 公司在2023年7月13日报送后,修复方案已在20...
Kubernetes Api Server未授权访问漏洞
最新发布
weixin_53736204的博客
08-05 403
这两个端口都是提供 Api Server 服务的,一个可以直接通过Web 访问,另一个可以通过 kubectl 客户端进行调用。如果运维人员没有合理的配置验证和权限,那么攻击者就可以通过这两个接口去获取容器的权限。步骤二:在打开的网页中直接访问 8080 端口会返回可用的 API列表。步骤一:使用以下Fofa语法搜索Kubernetes产品。​ Kubernetes 的服务在正常启动后会。
警报:新的 Kubernetes 漏洞可对 Windows 端点实施远程攻击
小司机的奥拓
09-18 191
不久前,研究人员在 Kubernetes 中发现的三个可被利用并相互关联的高危安全漏洞,这些漏洞可在集群内的 Windows 端点上以提升权限的方式实现远程代码执行。这些漏洞被标记为 CVE-2023-3676、CVE-2023-3893 和 CVE-2023-3955,CVSS 评分为 8.8,影响所有带有 Windows 节点的 Kubernetes 环境。继 Akamai 于 2023 年 7 月 13 日披露后,这些漏洞的修复程序于 2023 年 8 月 23 日发布。
K8S漏洞修复
weixin_50712581的博客
06-12 1879
客户环境存在K8S漏洞 分别是:Kubernetes kube-apiserver 输入验证错误漏洞(CVE-2021-25735) Kubernetes kube-apiserver信息泄露漏洞(CVE-2021-25737) 这两个漏洞官方给的建议就是升级到他们修复的版本。 以及因为api-server组件引起的openssl漏洞
扒一扒过去一年K8S高危漏洞都有哪些?
力哥讲技术
03-13 1363
在过去的一年里,Kubernetes继续稳固其在关键基础设施领域的地位,成为无论是小型还是大型组织都广受欢迎的选择。然而,随着更多开发人员将Kubernetes部署与其他云原生组件相结合,构建出更加完善的工作系统时,这也使得Kubernetes更容易遭受攻击。更多的组件和更加复杂的基础架构也增加了易受攻击的范围,这是需要我们运维人员关注的。根据 Red Hat 的2022Kubernetes 安全状况报告:https://www.redhat.com/rhdc/managed-files/cl-sta
kubernetes K8S超详细安装部署手册
02-02
### Kubernetes (K8S) 超详细安装部署手册知识点概览 #### 一、Kubernetes简介与核心功能 Kubernetes(简称K8S)是一个开源的容器编排平台,旨在自动化容器化应用的部署、扩展和管理。通过提供一系列核心功能,K8S...
k8s-auto-kubernetes/k8s一键安装
12-15
kubernetes/k8s自动安装程序,版本对应:v1.18.2,linux环境 使用kubeadm安装,改程序若环境不符合要求,是不能一键安装的,需按照程序指示分布安装,该程序是为了搭建测试环境时,简化繁琐的配置时所用,不能用作...
Kubernetes(K8S)超快速入门视频教程
11-05
Kubernetes(K8S)是Google在2014年发布的一个开源项目,用于自动化容器化应用程序的部署、扩展和管理。Kubernetes通常结合docker容器工作,并且整合多个运行着docker容器的主机集群。 适用人群 零基础以及有一定运维...
k8s-sidecar-injector:Kubernetes边车注入服务
02-03
k8s边车喷油器使用Kubernetes中的MutatingAdmissionWebhook在资源创建时将辅助工具注入新的部署中这是什么? 在Tumblr,我们运行一些具有复杂的边车设置的容器kubernetes容器可以运行5个以上的其他容器,以及一些...
云安全—K8S API Server 未授权访问
王嘟嘟的博客
10-30 2333
通常情况下k8s会有两个API服务,一个是8080,还有一个是6443。6443提供https服务,并且不对外开放,支持认证和授权服务,默认情况下8080是不启动的。
KubernetesK8S)各种攻击方法
网络安全。
01-25 1411
Kubernetes可以约束一个 Pod 只能在特定的节点上运行。节点亲和性是Pod的一种属性,它使 Pod 被吸引到一类特定的节点 (这可能出于一种偏好,也可能是硬性要求)。污点(Taint)则相反——它使节点能够排斥一类特定的 Pod。容忍度(Toleration)是应用于 Pod 上的,允许(但并不要求)Pod 调度到带有与之匹配的污点的节点上。我们可以控制Pod创建时候的污点来向集群内的节点进行喷洒创建。
修复 K8s SSL/TLS 漏洞CVE-2016-2183)指南
热门推荐
KubeSphere
02-21 1万+
测试服务器配置主机名IPCPU内存系统盘数据盘用途2440200Ansible 运维控制节点41640200+20041640200+20041640200+2002840200+2002840200+2002840200+200harbor2840200Harbor合计822843202800测试环境涉及软件版本信息2.8.203.3.0v1.24.19.5.17.17.52.5.1。
漏洞复现】Kubernetes PPROF内存泄漏漏洞(CVE-2019-11248)
晚风不及你
01-16 4308
Kubernetes(简称K8S)是Google在2014年开源的一个容器集群管理系统。它用于容器化应用程序的部署、扩展和管理,目标是让部署容器化应用简单且高效。
kubeadm 高可用k8s(v1.23.5)
weixin_42562106的博客
04-30 348
内核参数安排 cat << EOF > /etc/sysctl.d/k8s.conf ############################################################################################# # 调整虚拟内存 ################################################################################# # Default: 30 #
K8S 生态周报| Kubernetes 爆出全版本漏洞
k8s 生态
09-19 624
“「K8S 生态周报」内容主要包含我所接触到的 K8S 生态相关的每周值得推荐的一些信息。欢迎订阅知乎专栏「k8s生态」[1]。”大家好,我是张晋涛。Kubernetes CVE-2022-3172 安全漏洞扩展 Kubernetes 的方法有很多种,目前扩展 API 方面用到最多的是 自定义资源定义(CRD)和聚合 API(Aggregation API)。 自定义资源定义主要是为了让 Kube...
k8s对外攻击面总结
ATpiu的博客
12-19 9488
k8s对外攻击面总结/k8s漏洞
深入解析Kubernetes核心组件源码
Kubernetesk8s)是目前最流行的容器编排系统,它的源码分析对于深入理解和定制化部署至关重要。这份文档首先介绍了Kubernetes的基本概念,然后详细剖析了各个组件的实现。 1. **kube-apiserver** 是Kubernetes...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

张晋涛-MoeLove

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值