目前 kubernetes 紧急发布了1.13.9,1.14.5和1.15.2来解决Kubernetes中的两个安全问题。社区建议所有 kubernetse集群 和 kubectl客户端 立即更新到其中一个版本,此安全漏洞安全级别为[中级]。
CVE-2019-11247:API Server允许通过错误的范围访问自定义的资源
如果发出的请求与资源的名称空间相同,则此漏洞允许访问集群范围的自定义的资源。以这种方式访问的资源的授权是使用命名空间内的角色和角色绑定强制执行的,这意味着能访问一个命名空间中的资源,可以进行创建,查看更新或删除群集范围的资源(根据其命名空间角色权限)。
有关详细信息,请参阅Kubernetes问题#80983。 感谢Verizon Media的
Prabu Shyam报告此问题。
CVE-2019-11249: CVE-2019-1002101和CVE-2019-11246的不完整修复,kubectl cp潜在目录遍历
此漏洞允许恶意容器在客户端使用kubectl cp操作时在客户端计算机上创建或替换文件。该漏洞是客户端的缺陷,需要利用用户交互。
有关详细信息,请参阅Kubernetes问题#80984。 感谢亚马逊的
Yang Yang报告此问题。
