云原生生态周报 Vol. 14:K8s CVE 修复指南
前言
《云原生生态周报》由阿里云容器平台联合蚂蚁金服共同发布,每周一期。众多一线社区专家与您一起“跟踪动态,读懂社区”,分享云原生社区项目进展、活动发布、精选博客等信息。以下是第十四期云原生生态周报的内容。
业界要闻
1 Mesosphere 公司正式更名为 D2IQ, 关注云原生
Mesosophere 公司日前发布 官方声明
正式更名为:D2iQ(Day-Two-I-Q),称关注点转向 Kubernetes 与云原生领域, 并会继续将“Mesosphere”作为产品技术和品牌的一部。
2 Kubernetes 两个安全漏洞修复指南
2.1 Kubernetes API server 暴出安全漏洞 (CVE-2019-11247)
,该漏洞使得指定了命名空间权限的请求可以访问到集群级别权限的自定义资源(CR),漏洞产生的主要原因在于 CRD 的服务 API 没有检查请求的命名空间范围(namespaceScope)。
- 漏洞涉及的版本包括: Kubernetes 1.7.x-1.12.x; Kubernetes 1.13.0-1.13.8; Kubernetes 1.14.0-1.14.4; Kubernetes 1.15.0-1.15.1
- 漏洞的具体影响:对于只被授权某个具体 namespace 自定义资源的用户,他将可以访问集群级别的自定义资源。
-
处理漏洞的方案:根治的方案是升级到修复了该漏洞的版本,如
1.14.5
,1.15.2
等,除了升级 Kubernetes 版本,还可以把一些在 namespace 里授权了集群级别资源的规则先清理掉,比如一个 namespace 下的 RBCA roles,不要用这种方式授权resources:[*]
,apiGroups:[*]
,也不要授权集群级别的 CRD
2.2 kubectl cp 第三次暴出安全漏洞 (CVE-2019-11249),这次的漏洞是可能有潜在攻击者构造恶意容器,使得使用者在使用 kubectl cp 命令式本地文件被影响,是一个影响客户端侧的漏洞。
- 漏洞涉及的版本包括: Kubernetes 1.0.x-1.12.x ; Kubernetes 1.13.0-1.13.8 ; Kubernetes 1.14.0-1.14.4 ; Kubernetes 1.15.0-1.15.1
- 漏洞的具体影响:攻击者使用 kubectl cp 可能覆盖指定路径以外的文件。
- 处理漏洞的临时方案:升级客户端工具 kubectl 到最新版本,或者对不可信的 workloads 先不使用 kubectl cp 命令。
3 思科容器平台支持微软 AKS、google 开始引导客户迁移到 anthos、CloudBees 正式推出 Jenkins X 发行版
相关资料:
思科容器平台支持微软 AKS
4 CNCF 宣布将于今年 12 月 9 日至 10 日在韩国首尔、 12 月 12 日至 13 日在澳大利亚悉尼,首次举办 Kubernetes 峰会,以便更好的向全世界传播 Kubernetes 和云计算。现在在每年三场 KubeCon + CloudNativeCon 的基础上,开发者、用户、厂商有更多的机会可以在一起面对面的交流合作、学习进步。两个城市在一个星期连续举办的两个活动,有助于国际演讲者和赞助商的影响力提高。 https://mp.weixin.qq.com/s/Xo2BKXfDD36qk3l0VrGEAQ
上游重要进展
Kubernetes 项目
- admission webhook 的 admissionreview 类型包从 v1beta 变为 v1
https://github.com/kubernetes/kubernetes/pull/80231
2. 修复 kubectl cp 的 CVE PR:
- Fixed in v1.13.9 by #80871
- Fixed in v1.14.5 by #80870
- Fixed in v1.15.2 by #80869
- Fixed in master by #80436
- 修复 越过 namespace 权限访问 cluster 级别 CRD 的 CVE PR:
- Fixed in v1.13.9 by #80852
- Fixed in v1.14.5 by #80851
- Fixed in v1.15.2 by #80850
- Fixed in master by #80750
Knative 项目
8 月 6 日,knative 发布了 0.8 版本,主要聚焦在功能完善方面,目前 Knative Eventing/Servering 的功能日渐成熟。Knative Serving 0.8 主要增加了以下功能:
- Target Burst Capacity (TBC) 支持,用于避免突发流量在 queue-proxy 里排队。
- 减少 Readiness 健康检查需要的时间
- Route/Service 的 ready 状态能代表可以访问了
Knative Eventing 0.8 主要增加了以下功能:
- 新增 Choice CRD 资源,用来定义 function 执行流程。通过 Choice, 可以根据条件来选择 function 进行事件处理,具备 func 的编排能力
更详细的解读请阅读文章 “ Knative Serving 0.8 变更
” 和 “ 全面解读 Knative Eventing 0.8 版本新特性
”
About The Author
