kubectl cp漏洞CVE-2019-1002101分析
Kube-proxy IPVS添加flag ipvs-strict-arp
近期bug fix数据分析
——本期更新内容
kubectl cp漏洞
近期kubernetes的kubectl cp命令发现安全问题(CVE-2019-1002101),该问题严重程度比较高,建议将kubectl升级到Kubernetes 1.11.9,1.12.7,1.13.5或1.14.0版本以解决此问题。
kubectl cp命令允许用户在容器和主机之间复制文件,其基本原理是:
在源地址将文件打包。
打包输出内容作为stream流通过网络传递给目标地址。
传递路径包括:apiserver、kubelet、runtime
stream流在目的地址作为tar的输入,解压。
具体执行过程可以参考kubernetes/pkg/kubectl/cmd/cp.go文件中的copyToPod和copyFromPod两个函数。
在这个过程中,如果容器中的tar二进制文件是恶意的,它可以运行任何代码并输出意外的恶意结果。当调用kubectl cp时,攻击者可以使用它将文件写入用户计算机上的任何路径,仅受本地用户的系统权限限制。
目前社区在1.11-1.14版本均修复了该问题,具体修复方式可参考:
https://github.com/kubernetes/kubernetes/pull/75037
用户可以通过kubectl version --client命令查看自己使用的kubectl版本,并升级到1.11.9,1.12.7,1.13.5或1.14.0版