如何进行K8S漏洞CVE-2019-1002101解读
Kubernetes是CNCF(Cloud Native Computing Foundation)的开源项目,是一个用于管理云平台中多个主机上的容器化应用的开源系统。Kubernetes 1.x版本中存在一个安全漏洞,攻击者可利用该漏洞通过伪造用户请求在集群中创建新的资源对象,从而获取对集群的访问权限。
该漏洞编号为CVE-2019-1002101,Kubernetes官方在2019年3月26日发布了相关安全公告,并在2019年4月2日发布了修复补丁。
漏洞详情
Kubernetes API Server对外提供RESTful API服务,允许用户通过HTTP请求来管理Kubernetes集群。
Kubernetes API Server使用JSON Web Token(JWT)来对用户请求进行身份验证,验证通过后才会执行相应的操作。
Kubernetes API Server使用serviceaccount来为pod创建JWT令牌,该令牌会被保存在pod的annotations中。
当攻击者成功拦截并篡改了serviceaccount的JWT令牌,就可以伪造用户请求来访问Kubernetes API Server,从而获取对集群的访问权限。
漏洞影响
该漏洞影响Kubernetes 1.x版本,包括1.0.x、1.1.x、1.2.x、1.3.x、1.4.x、1.5.x、1.6.x、1.7.x、1.8.x、1.9.x和1.10.x。
漏洞修复
升级到Kubernetes 1.11.3或更高版本。
参考链接
https://github.com/kubernetes/kubernetes/issues/71411
https://kubernetes.io/blog/2019/03/26/kubernetes-security-update-for-cve-2019-1002101/
相关文章