Rancher 2.2.7發布！修復CVE，支持Kubern

8月6日，Kubernetes發布了三個新的補丁版本，以修復近期發現的兩個安全漏洞CVE-2019-11247和CVE-2019-11249。Rancher迅速反應，亦在8月7日發布最新版本Rancher v2.2.7，支持Kubernetes新發布的補丁版本，并包含對Rancher新近CVE的修復，以及功能與優化。

Kubernetes CVE及修復版本

Kubernetes新發布的三個版本為：

• v1.13.9

• v1.14.5

• v1.15.2

在新版本中修復了以下漏洞：

CVE-2019-11247：

此漏洞會導致API Server允許通過錯誤的范圍訪問自定義資源。受此漏洞影響的Kubernetes版本包括：

• Kubernetes 1.7.x-1.12.x

• Kubernetes 1.13.0-1.13.8

• Kubernetes 1.14.0-1.14.4

• Kubernetes 1.15.0-1.15.1

CVE-2019-11249：

CVE-2019-1002101 和 CVE-2019-11246的修復并不完全，此漏洞會導致惡意容器在客戶端使用kubectl cp操作時將有權限在客戶端計算機上創建或替換文件。受此漏洞影響的Kubernetes版本包括：

• Kubernetes 1.0.x-1.12.x

• Kubernetes 1.13.0-1.13.8

• Kubernetes 1.14.0-1.14.4

• Kubernetes 1.15.0-1.15.1

為了您的集群安全，建議您將Kubernetes集群都升級新發布的修復版本，有關CVE的更多詳情，請參閱：

https://groups.google.com/forum/#!topic/kubernetes-security-announce/vUtEcSEY6SM

Rancher 2.2.7發布

今日，Rancher Labs發布了Rancher全新版本v2.2.7,該版本支持Kubernetes于8月6日發布的補丁版本（v1.13.9、v1.14.5、v1.15.2）。同時，Rancher v2.2.7還修復了近期發現的安全漏洞CVE-2019-14435和CVE-2019-14436。

目前，Rancher的Latest和Stable版本信息如下：

同時，Rancher Labs官方還發布了v2.1.12,可供尚未升級至Rancher 2.2.x的用戶使用。這一版本Rancher暫時僅支持 Kubernetes v1.13.9。

此外，Rancher v2.2.7和v2.1.12還修復了最近在Rancher發現的兩個CVE：

• CVE-2019-14435：由于該漏洞，經過身份驗證的用戶可能可以從Rancher使用的系統服務容器可獲得的IP中提取其他私有數據，包括但不限于諸如云提供商元數據服務之類的服務。盡管Rancher用戶可以配置白名單域以進行系統服務訪問，但是惡意用戶仍然通過精心設計的HTTP請求來利用這個缺陷。此漏洞由Workiva公司的Matt Belile和Alex Stevenson發現并報告。

• CVE-2019-14436：通過此漏洞，本來只具有“Project所有者”角色權限的成員（甚至是在編輯角色綁定方面權限更低的成員），將能夠授予自己更高的、集群級別的角色，從而獲取管理該集群的權限。此漏洞由諾基亞公司的Michal Lipinski發現并報告。

請注意：

Rancher 1.6.x用戶不受Kubernetes的這兩個安全漏洞影響，因為Rancher 1.6.x自身不支持這兩個漏洞所影響的Kubernetes版本。

關于Rancher 2.0.x的用戶：

• Rancher 1.6.x類似，Rancher 2.0.x也不支持上述Kubernetes版本，因此不受Kubernetes這兩個安全漏洞影響。

• 而關于Rancher的兩個漏洞問題，正如Rancher服務條款頁面所示，Rancher 2.0.x目前處于其產品生命周期的EOM到EOL支持階段。因此，Rancher官方沒有計劃發布v2.0.x補丁版本來修復CVE-2019-14435和CVE-2019-14436。對于Rancher的企業級訂閱客戶，如果您有特殊情況，需要在v2.0.x版本中修復這兩個漏洞，請聯系Rancher的技術支持團隊?；蛘?，請在v2.0.x 的EOL日期（2019年11月1日）之前，將您的Rancher升級到最新版本。

功能與優化

• 添加了對Docker 19.03的支持

• 添加了設置s3備份路徑的功能

下載與升級

您可以至Rancher GitHub主頁，閱讀完整的Rancher 2.2.7 Release Note、下載使用最新版本、或了解更多與升級回滾有關的注意事項。

GitHub鏈接：

https://github.com/rancher/rancher/releases