如何进行K8S漏洞CVE-2019-1002101解读

Kubernetes是CNCF（Cloud Native Computing Foundation）的开源项目，是一个用于管理云平台中多个主机上的容器化应用的开源系统。Kubernetes 1.x版本中存在一个安全漏洞，攻击者可利用该漏洞通过伪造用户请求在集群中创建新的资源对象，从而获取对集群的访问权限。

该漏洞编号为CVE-2019-1002101，Kubernetes官方在2019年3月26日发布了相关安全公告，并在2019年4月2日发布了修复补丁。

漏洞详情

Kubernetes API Server对外提供RESTful API服务，允许用户通过HTTP请求来管理Kubernetes集群。

Kubernetes API Server使用JSON Web Token（JWT）来对用户请求进行身份验证，验证通过后才会执行相应的操作。

Kubernetes API Server使用serviceaccount来为pod创建JWT令牌，该令牌会被保存在pod的annotations中。

当攻击者成功拦截并篡改了serviceaccount的JWT令牌，就可以伪造用户请求来访问Kubernetes API Server，从而获取对集群的访问权限。

漏洞影响

该漏洞影响Kubernetes 1.x版本，包括1.0.x、1.1.x、1.2.x、1.3.x、1.4.x、1.5.x、1.6.x、1.7.x、1.8.x、1.9.x和1.10.x。

漏洞修复

升级到Kubernetes 1.11.3或更高版本。

参考链接

https://github.com/kubernetes/kubernetes/issues/71411

https://kubernetes.io/blog/2019/03/26/kubernetes-security-update-for-cve-2019-1002101/