摘要:首爆嚴(yán)重安全漏洞����,嚴(yán)重性分于昨晚爆出嚴(yán)重安全漏洞����,該漏洞由聯(lián)合創(chuàng)始人及首席架構(gòu)師發(fā)現(xiàn)。其他功能更新對第三方設(shè)備監(jiān)控插件的支持該功能目前被引入為功能�����。拓?fù)涓兄碚{(diào)度該功能現(xiàn)成為狀態(tài)���。
K8S首爆嚴(yán)重安全漏洞�,嚴(yán)重性9.8分
Kubernetes于昨晚爆出嚴(yán)重安全漏洞����,該漏洞由Rancher Labs聯(lián)合創(chuàng)始人及首席架構(gòu)師Darren Shepherd發(fā)現(xiàn)���。該漏洞CVE-2018-1002105(又名Kubernetes特權(quán)升級(jí)漏洞,https://github.com/kubernetes...)被確認(rèn)為嚴(yán)重性9.8分(滿分10分)���,惡意用戶可以使用Kubernetes API服務(wù)器連接到后端服務(wù)器以發(fā)送任意請求����,并通過API服務(wù)器的TLS憑證進(jìn)行身份驗(yàn)證����。這一安全漏洞的嚴(yán)重性更在于它可以遠(yuǎn)程執(zhí)行,攻擊并不復(fù)雜����,不需要用戶交互或特殊權(quán)限。
Rancher Labs聯(lián)合創(chuàng)始人及首席架構(gòu)師 Darren Shepherd���,同時(shí)也是Docker生態(tài)核心組織Docker治理委員會(huì)(DGAB)的全球僅有的四位個(gè)人頂級(jí)貢獻(xiàn)者之一���。
更糟糕的是,在Kubernetes的默認(rèn)配置中���,允許所有用戶(經(jīng)過身份驗(yàn)證和未經(jīng)身份驗(yàn)證的用戶)執(zhí)行允許此升級(jí)的發(fā)現(xiàn)API調(diào)用����。也就是說,任何了解這個(gè)漏洞的人都可以掌控你的Kubernetes集群���。
最后的痛苦之處在于��,對于用戶而言����,沒有簡單的方法來檢測此漏洞是否已被使用����。由于未經(jīng)授權(quán)的請求是通過已建立的連接進(jìn)行的��,因此它們不會(huì)出現(xiàn)在Kubernetes API服務(wù)器審核日志或服務(wù)器日志中�����。請求確實(shí)會(huì)出現(xiàn)在kubelet或聚合的API服務(wù)器日志中�,但是卻無法與正確通過Kubernetes API服務(wù)器授權(quán)和代理的請求區(qū)分開來。
現(xiàn)在����,Kubernetes已經(jīng)發(fā)布了修補(bǔ)版本v1.10.11����、v1.11.5����、v1.12.3和v1.13.0-rc.1。如果您仍在使用Kubernetes v1.0.x至Kubernetes v1.9.x版本����,請即刻停止并升級(jí)到修補(bǔ)版本。
如果由于某種原因你無法升級(jí)�����,你必須暫停使用聚合的API服務(wù)器�����,并從不應(yīng)具有對kubelet API的完全訪問權(quán)限的用戶中刪除pod exec / attach / portforward權(quán)限(不過也有用戶認(rèn)為這種解決方法的糟糕程度和這個(gè)漏洞問題本身不相上下了)���。
Kubernetes 1.13發(fā)布�����,三大功能GA
昨晚差不多同一時(shí)間���,Kubernetes最新版本1.13亦正式發(fā)布�,這是Kubernetes在2018年的第四次也是最后一次大版本更新�。
距離上一版本Kubernetes 1.12發(fā)布僅10周時(shí)間,1.13是今年Kubernetes更新最快的版本�。
Kubernetes 1.13關(guān)注的重點(diǎn)依然是Kubernetes的穩(wěn)定性和可擴(kuò)展性,此版本中的有三個(gè)主要功能正式成為GA狀態(tài)��,包括:使用kubeadm簡化集群管理�、容器存儲(chǔ)接口(CSI)、以及使用CoreDNS作為默認(rèn)DNS����。
使用kubeadm簡化K8S集群管理�,該功能已GA
大多數(shù)直接使用Kubernetes的用戶在某些時(shí)候都會(huì)直接上手使用kubeadm。它是管理集群從創(chuàng)建到配置再到升級(jí)這一生命周期的重要工具?�,F(xiàn)在���,kubeadm正式GA����。kubeadm可以處理現(xiàn)有硬件上的生產(chǎn)集群的引導(dǎo)(bootstrapping),并以最佳實(shí)踐方式配置核心Kubernetes組件����,以便為新節(jié)點(diǎn)提供安全而簡單的連接流程并能夠輕松升級(jí)。該GA版本中值得一提的是�,現(xiàn)在已經(jīng)完成的高級(jí)特性,特別是可拔性和可配置性�����。kubeadm的目標(biāo)是成為管理員和自動(dòng)化的工具箱以及更高級(jí)的系統(tǒng)���。這一版本在這個(gè)方向上已經(jīng)邁進(jìn)了一大步����。
容器存儲(chǔ)接口(CSI)現(xiàn)已GA
容器存儲(chǔ)接口(CSI)在作為alpha引入v1.9以及在v1.10作為beta引入之后���,現(xiàn)已正式GA����。使用CSI�,Kubernetes volume變得真正可擴(kuò)展。這讓第三方存儲(chǔ)提供商可以編寫與Kubernetes互操作而無需觸及核心代碼的插件。Specification本身也達(dá)到了1.0的狀態(tài)�����。隨著CSI逐漸穩(wěn)定��,插件作者可以按照自己的節(jié)奏開發(fā)核心存儲(chǔ)插件�。同時(shí)���,可以在CSI文檔中找到樣本和生產(chǎn)驅(qū)動(dòng)的列表:
https://kubernetes-csi.github...
CoreDNS成為Kubernetes的默認(rèn)DNS服務(wù)器
在Kubernetes1.11中�, CoreDNS作為基于DNS的服務(wù)發(fā)現(xiàn)已經(jīng)GA�。在1.13中,CoreDNS將替換kube-dns��,成為Kubernetes的默認(rèn)DNS服務(wù)器���。CoreDNS是一個(gè)通用的�、權(quán)威的DNS服務(wù)器����,提供與Kubernetes向后兼容但可擴(kuò)展的集成��。CoreDNS比以前的DNS服務(wù)器具有更少的移動(dòng)部件,因?yàn)樗菃蝹€(gè)可執(zhí)行文件和單個(gè)進(jìn)程��,并通過創(chuàng)建自定義DNS條目來支持靈活的用例���。它也是用Go語言編寫�,具有內(nèi)存安全性����。
CoreDNS現(xiàn)在是Kubernetes 1.13+推薦的DNS解決方案。該項(xiàng)目已將常用測試基礎(chǔ)架構(gòu)切換為默認(rèn)使用CoreDNS�����,官方也建議用戶進(jìn)行切換����。對KubeDNS的支持和維護(hù)將至少再延續(xù)一個(gè)版本,但現(xiàn)在是時(shí)候開始規(guī)劃遷移了��。許多OSS安裝工具已經(jīng)進(jìn)行了切換�����,包括1.11中的Kubeadm�。如果您使用的是托管解決方案��,請與您的供應(yīng)商確認(rèn)了解這將如何影響到您��。
其他功能更新
對第三方設(shè)備監(jiān)控插件的支持:該功能目前被引入為alpha功能(https://github.com/kubernetes...)���。
Kubelet設(shè)備插件注冊:該功能將成為stable狀態(tài)。這創(chuàng)建了一個(gè)通用的Kubelet插件發(fā)現(xiàn)模型�����,可以由不同類型的節(jié)點(diǎn)級(jí)插件(例如設(shè)備插件�����、CSI和CNI)用于與Kubelet建立通信通道��。
拓?fù)涓兄碚{(diào)度:該功能現(xiàn)成為stable狀態(tài)���。這使調(diào)度程序能夠識(shí)別Pod的卷的拓?fù)浼s束�,例如區(qū)域或節(jié)點(diǎn)���。
APIServer DryRun:該功能即將升級(jí)為beta版����。這將“應(yīng)用”和聲明性對象管理從移動(dòng)kubectl到apiserver���,以便修復(fù)當(dāng)前無法修復(fù)的許多現(xiàn)有錯(cuò)誤�。
Kubectl Diff:即將升級(jí)為beta版��。這允許用戶運(yùn)行kubectl命令以查看本地聲明的對象配置與活動(dòng)對象的當(dāng)前狀態(tài)之間的差異�。
使用持久性卷源的原始?jí)K設(shè)備:正逐漸升級(jí)為beta版。這使得原始?jí)K設(shè)備(非網(wǎng)絡(luò)設(shè)備)可通過持久卷源進(jìn)行使用����。
用戶現(xiàn)可在GitHub上下載使用Kubernetes的最新版本1.13:
https://github.com/kubernetes...
更多參考:https://kubernetes.io/blog/20...
https://www.zdnet.com/article...
https://www.theregister.co.uk...
文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為���,您可以聯(lián)系管理員刪除��。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/32789.html
