Kubernetes Kubectl曝安全漏洞，用戶應該如何應對？

北京時間9月19日，Kubernetes發布了一個編號為CVE-2019-11251的漏洞，該漏洞被標記為中等安全問題。其影響的Kubernetes版本為v1.13.10、v1.14.6和v1.15.3。經過分析，Rancher安全風險評估團隊認為，此次Kubernetes CVE不會影響Rancher產品的安全問題，因此無需立即發布2.1.x和2.2.x版本，且我們將在下一個季度的第一個維護版本中升級Rancher UI中使用的kubectl版本。
 

 

CVE-2019-11251

 
如果您無法確定自己使用的版本是否受到安全漏洞的影響，您可以運行kubectl version –client這一命令，如果它返回的Kubernetes版本為v1.13.10、v1.14.6 和 v1.15.3，那么建議您盡快升級，詳情參閱：
 
https://kubernetes.io/docs/tasks/tools/install-kubectl/
 

漏洞詳情

這一漏洞和CVE-2019-1002101以及CVE-2019-11246十分類似。該漏洞允許兩個symlink的組合將文件復制到其目標目錄之外。這使得***可以使用目標樹之外的symlink放置netfarious文件。
 

在Kubernetes 1.16中，通過移除在kubectl cp中對symlink的支持修復了這一問題。官方建議你使用exec命令行和tar包組合作為替代。詳情請參閱：

https://github.com/kubernetes/kubernetes/pull/82143
 

根據這一安全漏洞，還有另一種修復方式：改變kubectl cp un-tar symlink的邏輯，通過解壓縮所有常規文件之后解壓縮symlink。這樣可以保證無法通過symlink寫入文件。這一修復方式在v1.15.4、v1.14.7和v1.13.11中更新。
 

Kubernetes 1.16發布

美國時間9月18日Kubernetes發布了2019年的第三個新版本1.16。這一版本由31個增強功能組成：8個stable、8個beta、15個alpha。這一版本更新主要圍繞以下4個方面：

• Custom resources：CRD是Kubernetes擴展的輕量級機制，保證新類型資源的使用。在1.16版本中，CRD正式GA。

• Admission webhooks：Admission webhook是Kubernetes的擴展機制，在1.9版本已經可以使用beta版本，在1.16中，Admission webhook也正式GA。

• Overhauled metrics：之前Kubernetes已廣泛使用全局metrics registry來注冊要公開的metrics。通過實現metrics registry，metrics可以以一種更為透明的方式注冊。而在這之前，Kubernetes metrics 被排除在任何穩定性需求之外。

• Volume Extension：在本次更新中有大量關于volume和volume修改相關的增強。CSI 規范中對 Volume 調整的支持正在轉向 Beta 版本，它允許任何 CSI spec Volume 插件都可以調整大小。

更多新版本詳情，請參閱：

https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG-1.16.md#v1160

Rancher的應對之策

Rancher安全風險評估團隊經過分析后確認，此次Kubernetes CVE不會影響Rancher產品的安全問題，因此Rancher團隊不會立即發布新的2.1.x和2.2.x修復版本，但在下季度計劃發布的第一個維護版本中將升級Rancher UI中使用的kubectl版本。

用戶將文件從容器復制到主機時，上游CVE會影響kubectl cp命令，進而會導致主機允許兩個symlink將文件復制到目標目錄之外。但是這一場景與Rancher UI中使用的kubectl無關，因為每個kubectl會話僅啟動臨時數據存儲，該數據存儲在會話關閉時消失。

此次CVE不會對Rancher產品自身的安全性造成影響，理論上亦不屬于Rancher產品支持范圍，不過Rancher團隊依然建議Rancher 2.x用戶升級自己本地的kubectl版本，且Rancher也會在下季度計劃發布的第一個維護版本中升級Rancher UI中使用的kubectl版本。

對于Rancher的企業級訂閱客戶，如果您對K8S這一CVE有任何疑慮、想要獲取更多安全問題咨詢或者升級指南，都可以聯系Rancher Support Team獲取技術支持。