kubernetes的etcd、kubelet和kube-api CVE-2016-2183 漏洞解决

已于 2022-08-17 09:29:20 修改
阅读量3.1k 收藏 3
点赞数 1
分类专栏: Cloud 文章标签: etcd kubelet kubernetes
于 2022-08-15 19:23:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wisheen/article/details/126353033
版权

问题: CVE-2016-2183 漏洞,包括etcd、kubelet和kube-api。

问题测试:

root@master1:/var/lib/kubelet# nmap --script ssl-enum-ciphers -p 6443 127.0.0.1

Starting Nmap 7.60 ( https://nmap.org ) at 2022-08-15 11:08 UTC

Nmap scan report for localhost (127.0.0.1)

Host is up (0.000067s latency).

PORT     STATE SERVICE

6443/tcp open  sun-sr-https

| ssl-enum-ciphers:

|   TLSv1.2:

|     ciphers:

|       TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C

|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A

|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (rsa 2048) - A

|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A

|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (rsa 2048) - A

|       TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 (rsa 2048) - A

|       TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C

|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A

|       TLS_RSA_WITH_AES_128_GCM_SHA256 (rsa 2048) - A

|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A

|       TLS_RSA_WITH_AES_256_GCM_SHA384 (rsa 2048) - A

|     compressors:

|       NULL

|     cipher preference: client

|     warnings:

|       64-bit block cipher 3DES vulnerable to SWEET32 attack

|_  least strength: C


上面会有64-bit block cipher 3DES vulnerable to SWEET32 attack提示

解决方案: 去除3DES的加密

具体步骤: 以sealos部署kube1.19为例,其他请自行查阅配置

# 去除3DES,其他保留和之前一致

# kubelet 在config.yaml增加tlsCipherSuites属性

vi /var/lib/kubelet/config.yaml

tlsCipherSuites: ['TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256','TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384','TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305','TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256','TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384','TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305','TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256','TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA','TLS_RSA_WITH_AES_128_CBC_SHA','TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA','TLS_RSA_WITH_AES_128_GCM_SHA256','TLS_RSA_WITH_AES_256_CBC_SHA','TLS_RSA_WITH_AES_256_GCM_SHA384']

systemctl daemon-reload

systemctl restart kubelet.service

# kube-api 在kube-apiserver.yaml的command参数部分增加tls-cipher-suites

vi /etc/kubernetes/manifests/kube-apiserver.yaml

 - --tls-cipher-suites=TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305,TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_256_GCM_SHA384

# etcd 在etcd.yaml的command参数部分增加cipher-suites,注意没有tls前缀

# etcd有提示 unexpected TLS cipher suite "TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256",去除对应加密模式

vi /etc/kubernetes/manifests/etcd.yaml

 - --cipher-suites=TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_256_GCM_SHA384

结果验证:

nmap --script ssl-enum-ciphers -p 10250 127.0.0.1

nmap --script ssl-enum-ciphers -p 6443 127.0.0.1

nmap --script ssl-enum-ciphers -p 2379 127.0.0.1

如上执行应该没有warnings

上面逻辑10250在所有节点执行(kubelet机器),6443和2379在所有master节点执行,修复完毕

参考文档:

https://www.cnblogs.com/pengpengboshi/p/16248565.html

https://docs.guance.com/scheck/4213-k8s-kubelet-tls-cipher-suites/

https://kubernetes.io/zh-cn/docs/reference/command-line-tools-reference/kubelet/

wisheen
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
k8s漏洞-CVE-2016-2183修复
隔壁老瓦的专栏
10-25 675
k8s漏洞-CVE-2016-2183修复_day-day-up2的博客-CSDN博客_k8s 漏洞kubernetesetcdkubeletkube-api CVE-2016-2183 漏洞解决_wisheen的博客-CSDN博客_64-bit block cipher 3des vulnerable to sweet32 att
kube-apiserver-amd64-v1.11.1
09-26
kube-apiserver-amd64-v1.11.1镜像,镜像使用方法: docker load -i kube-apiserver-amd64-v1.11.1.tar.gz
kube-universe:Kubernetes集群的3D可视化
01-30
kube-universe 总览 Kube-Universe将Kubernetes集群渲染为动态3D图。 示例景观可视化可以在找到。 可获得现场演示版本 产品特点 3D群集概述 识别有错误的豆荚 安装及使用 在开始之前,您需要安装statik以将Web内容供应到可执行文件中 go get -u github.com/rakyll/statik 获取kube-universe二进制 go get github.com/afritzler/kube-universe 在本地启动kube-universe kube-universe serve --kubeconfig=PATH_TO_MY_KUBECONFIG 要不就 kube-universe serve 如果您使用的是minikubeKUBECONFIG环境变量指向相应的集群。 可以通过和位于下的渲染图访问Web UI。 使用--port标志,您还可以指定应在哪个端口下显示kube Universe服务器(默认值为3000)。 发展历程 从源代码构建和运行kube-universe git clone https:/
k8s.gcr.io/kube-apiserver:v1.17.3镜像包
03-06
kubernetes的k8s.gcr.io/kube-apiserver:v1.17.3镜像包,版本为v1.17.3。文件是kube-controller-manager_v_1_17.3.tar
kubeadm依赖:kube-apiserver:v1.23.0、kube-controller-manager:v1.23等
11-09
kubeadm依赖镜像: registry.aliyuncs.com/google_containers/kube-apiserver:v1.23.0 registry.aliyuncs.com/google_containers/kube-controller-manager:v1.23.0 registry.aliyuncs.com/google_containers/kube-scheduler:v1.23.0 registry.aliyuncs.com/google_containers/kube-proxy:v1.23.0 registry.aliyuncs.com/google_containers/pause:3.6 registry.aliyuncs.com/google_containers/etcd:3.5.1-0 registry.aliyuncs.com/google_containers/coredns:v1.8.6 操作: 镜像包上传到集群的各个节点后执行导入镜像脚本 chmod +x load_images.sh ./load_images.sh
Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本
10-06
Windows Server 合规漏洞修复,修复Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本,基于Windows PowerShell, 兼容Windows Server 2016/2019,防止Sweet32 生日攻击
Sweet32漏洞,升级openssl或者禁用3DES和DES弱加密算法
u010674101的专栏
09-27 8079
解决办法有两个,一个是升级OpenSSL 1.0.2k-fips 26 Jan 2017 以上,另外一个是更新nginx配置,禁用3DES和DES弱加密算法。本次介绍第二种方法,更新nginx配置禁用3DES和DES弱加密算法,然后nginx -s reload即可。如何不喜欢使用nmap,也可以使用如下工具testssl.sh,但是输出的内容太多了,本次我只截取部分。第一个比较麻烦,影响面积比较广,centos7 上,大多数教程都是需要自行编译,影响线上环境。由于等保的原因,被服务商扫描出漏洞
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)
qq_42947816的博客
02-08 2万+
法国国家信息与自动化研究所(French Institute for Research in Computer Science and Automation,INRIA)的两名科学家发布了一项新研究,这是一种针对64位分组密码算法的生日攻击,其详细阐述了一种攻击手法—从用64位密码加密的TLS(HTTPS)流量恢复数据。
修复 K8s SSL/TLS 漏洞CVE-2016-2183)指南
KubeSphere
02-21 1万+
测试服务器配置主机名IPCPU内存系统盘数据盘用途2440200Ansible 运维控制节点41640200+20041640200+20041640200+2002840200+2002840200+2002840200+200harbor2840200Harbor合计822843202800测试环境涉及软件版本信息2.8.203.3.0v1.24.19.5.17.17.52.5.1。
python字典转字符串并输出-将字典值转换为字符串
weixin_39626181的博客
11-11 5285
我正在处理来自Nmap脚本引擎的输出,在字符串转换方面遇到了问题。在nmap的结果将其放入字典中,我将其转换为字符串:nm = nmap.PortScanner()sslNmapOutput = nm.scan(hosts="192.168.2.50", arguments="--script ssl-enum-ciphers -p443")sslOutpu...
kube-router:Kube-router,Kubernetes网络的交钥匙解决方案
02-02
Kube-router是Kubernetes网络的交钥匙解决方案,旨在提供操作简便性和高性能。 主要特征 kube-router可以完成所有工作。 启用所有功能后,kube-router是典型的Kubernetes集群中使用的几个网络组件的精简而强大的替代方案。 所有这些都来自单个DaemonSet / Binary。 这并没有变得容易。 基于IPVS / LVS的服务代理| --run-service-proxy kube-router使用Linux内核的LVS / IPVS功能来实现其K8s服务代理。 Kube-router充分利用关闭LVS / IPVS的电源来提供丰富的和独特的功能,例如DSR(直接服务器返回),具有ECMP的L3负载平衡,以用于对高吞吐量,最小延迟和高可用性至关重要的部署。 阅读有关IPVS在容器负载平衡方面的优势的更多信息: Pod联网| --run-router 借助BGP协议和GoBGP Go库,kube-router通过直接路由有效地处理Pod网络。 它使用本地Kubernetes API维护分布式Pod网络状态。 这意味着不依赖要在群集中维护
基于golang语言修复FRP TLS安全隐患 CVE-2016-2183
最新发布
zgh419566的博客
02-06 1045
使用过FRP的同志都知道,FRP如果不做加密,很容易被一些反黑防火墙扫描通报为 已失陷,意思是服务器被黑客控制,很明显这个是误报,解决办法就是使用TLS加密 但是使用TLS加密以后虽然能够规避防火墙的安全检测,但是又被信息安全部门通报TLS协议存在安全漏洞,绿盟的扫描结果如下
java 限制https_优雅处理HTTPS中的证书问题
weixin_29073241的博客
02-27 795
Java中HTTPS会遇到的问题访问自签名的HTTPS网站高版本JRE访问SSLv3/SSLv2站点一些银行接口需要加载keystore的场景* 如果要了解SSL历史也可以看看这篇文章。1 访问自签名的HTTPS网站常常看到的回答是直接通过信任所有来支持, 这不优雅; 优雅的操作应该:下载服务端的CA证书# 方式1: 导出DER格式的证书# 这里需要通过指定servername来保证导出的证书和当...
Nginx SSL漏洞(SWEET32)扫描和修复 —— 筑梦之路
筑梦之路
05-24 2673
1.扫描 nmap -sV --script ssl-enum-ciphers -p 443 www.baidu.com nmap --script="ssl-enum-ciphers" -sS -Pn -p 443 www.baidu.com sslscan www.baidu.com 2.nginx ssl配置 ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!3DES:!ADH:.
SSL/TLS类安全漏洞及SLB安全漏洞问题
qq_38254635的博客
12-27 1万+
SSL/TLS类安全漏洞及SLB安全漏洞问题
CVE-2016-2183漏洞复现
网络战争的博客
09-06 1410
CVE-2016-2183是OpenSSL库中的一个漏洞,它影响了所有版本的OpenSSL 1.0.2之前,包括1.0.1和1.0.0版本。其中,`-cert`参数指定服务器证书,`-key`参数指定服务器密钥,`-accept`参数指定服务端口号,`-www`参数表示启用HTTP服务器。建议用户及时更新OpenSSL版本来修复该漏洞。其中,`-connect`参数指定要连接的主机和端口号,`-cipher`参数指定使用的密码套件。在此过程中,您需要设置一些证书相关的信息,如国家、地区、组织等。
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】处理
热门推荐
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
12-30 20万+
概述 SSL/TLS协议信息泄露漏洞(CVE-2016-2183)漏洞: TLS, SSH, IPSec协商及其他产品中使用的DES及Triple DES密码存在大约四十亿块的生日界,这可使远程攻击者通过Sweet32攻击,获取纯文本数据。 风险级别:低 该漏洞又称为SWEET32(https://sweet32.info)是对较旧的分组密码算法的攻击,它使用64位的块大小,缓解SWEET32攻击OpenSSL 1.0.1和OpenSSL 1.0.2中基于DES密码套件从“高”密码字符串组移至“中”;但Op
K8S组件SWEET32 CVE-2016-2183漏洞修复方案 —— 筑梦之路
筑梦之路
11-25 2293
涉及得组件:kubelet kube-apiserver etcd。去掉3DES弱加密算法,其他加密算法保留。
CVE-2016-2183漏洞修复
w184414332的博客
08-18 1万+
CVE-2016-2183漏洞修复
error execution phase preflight: [preflight] Some fatal errors occurred: [ERROR FileAvailable--etc-kubernetes-manifests-kube-apiserver.yaml]: /etc/kubernetes/manifests/kube-apiserver.yaml already exists [ERROR FileAvailable--etc-kubernetes-manifests-kube-controller-manager.yaml]: /etc/kubernetes/manifests/kube-controller-manager.yaml already exists [ERROR FileAvailable--etc-kubernetes-manifests-kube-scheduler.yaml]: /etc/kubernetes/manifests/kube-scheduler.yaml already exists [ERROR FileAvailable--etc-kubernetes-manifests-etcd.yaml]: /etc/kubernetes/manifests/etcd.yaml already exists
06-01
这个错误是因为您尝试安装Kubernetes的某个组件时,该组件的配置文件已经存在于相应的目录中。这可能是由于之前的安装过程中出现了问题或者手动创建了这些文件导致的。 为了解决这个问题,您可以尝试删除这些文件或备份它们,然后重新运行安装命令。您可以使用以下命令备份这些文件: ``` sudo mv /etc/kubernetes/manifests/kube-apiserver.yaml /etc/kubernetes/manifests/kube-apiserver.yaml.bak sudo mv /etc/kubernetes/manifests/kube-controller-manager.yaml /etc/kubernetes/manifests/kube-controller-manager.yaml.bak sudo mv /etc/kubernetes/manifests/kube-scheduler.yaml /etc/kubernetes/manifests/kube-scheduler.yaml.bak sudo mv /etc/kubernetes/manifests/etcd.yaml /etc/kubernetes/manifests/etcd.yaml.bak ``` 然后再次运行安装命令,应该就可以成功安装了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值