Kubernetes重大漏洞?阿里雲已第一時間全面修復
近日,Kubernetes社群發現安全漏洞 CVE-2018-1002105,阿里雲容器服務已在第一時間完成全面修復,敬請廣大使用者登入阿里雲控制檯升級Kubernetes版本。
目前Kubernetes開發團隊已經發布V1.10.11、V1.11.5修復補丁,阿里雲容器服務也已在第一時間完成漏洞全面修復,使用者登入阿里雲控制檯即可一鍵升級。
更多資訊可以移步公告《 》
漏洞發現後的措施
具體而言有一下幾種情況供大家參考:
1 使用者選用阿里雲容器服務K8s
影響範圍有限,阿里雲容器服務ACK一直在推進和保障最小許可權原則,預設開啟了RBAC,透過主賬號授權管理預設禁止了匿名使用者訪問。同時Kubelet 啟動引數為”anonymous-auth=false”,提供了安全訪問控制,防止外部入侵。對於使用子賬號的多租戶ACK叢集使用者,子賬號訪問Kubernetes,其賬號可能透過Pod exec/attach/portforward越權。如果叢集只有管理員使用者,則無需過度擔心。子賬號在不經過主賬號自定義授權的情況下預設不具有聚合API資源的訪問許可權。這些子賬號使用者請選擇合適業務時間升級,進入控制檯點選一鍵更新安全版本Kubernetes。
2 如果是完全自行搭建K8s
如果是在ECS上自建k8s的使用者,請務必檢查各項配置,如有失誤,會引發較大安全風險。若使用者在阿里雲ECS伺服器上自建Kubernetes叢集,建議第一時間登入Kubernetes官網下載最新版,做好備份給節點打快照,並檢查好配置、確保許可權最小化,選擇合適業務時間升級。
3 如果是在無伺服器版本
無伺服器版本Kubernetes在此之前已額外加固,使用者不受此漏洞影響
更多關於阿里雲容器服務
本次漏洞有限,阿里雲容器服務Kubernetes採用了企業級的安全防護設計,為雲上開發者省去了很多煩惱:
-
API Server配置預設禁止匿名訪問
-
容器叢集採用VPC方案,網路環境全隔離
-
使用者可以選擇在公網隱藏API Server
-
預設子帳號沒有訪問叢集資源的許可權
此外,無伺服器版本Kubernetes已提前加固,使用者不受此漏洞影響。
去年11月,阿里雲率先推出了Kubernetes管理服務,整合阿里雲在虛擬化、儲存、網路和安全能力的優勢,提供多種應用釋出方式和持續交付能力並支援微服務架構。使用者可輕鬆建立、配置和管理虛擬機器群集,在阿里雲上部署和管理基於容器的應用程式。
為降低開發應用門檻,阿里雲對Kubernetes能力進行了多重補充。比如,透過選擇不同節點,實現異構計算叢集支援深度學習等場景,或者雲上一鍵部署叢集,整合解決方案。
阿里雲容器服務採用了高效能的神龍技術架構,資源利用率提升了3倍以上,同時融合乙太網RDMA技術25Gb網路,相比自建效能可提高數倍。同時,阿里雲還是業內首家提供ServiceMesh服務網格最佳實踐及異地多活方案的雲廠商。
安全是容器服務的重中之重。阿里雲容器服務充分考慮了企業級的安全訴求,所有元件均提供雙向證書驗證,預製開啟RBAC等鑑權能力,使用者可以透過阿里雲控制檯可以安全地管理叢集資源。
作為國內最大規模的公共雲容器平臺,阿里雲已為西門子、新浪微博、國泰君安、小鵬汽車、安諾優達等數千多家企業提供容器服務,在全球十六個地域部署,支援公共雲、專有云、金融雲、政務雲。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31551794/viewspace-2285596/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- Wind River修復了VxWorks實時作業系統的11個重大安全漏洞作業系統
- 風河修復了 VxWorks 實時作業系統的 11 個重大安全漏洞作業系統
- Ubuntu 16.04 LTS收到重大核心更新:共計修復39處漏洞Ubuntu
- PrestaShop網站漏洞修復如何修復REST網站
- 蘋果iOS10.3.1修復博通Wi-Fi晶片重大安全漏洞蘋果iOS晶片
- 網站漏洞修復 上傳webshell漏洞修補網站Webshell
- 怎麼修復網站漏洞騎士cms的漏洞修復方案網站
- Nacos 2.3.2 正式釋出,修復重大 bug!
- 專家建議網站漏洞要及時修復網站
- phpStudy poc漏洞復現以及漏洞修復辦法PHP
- 蘋果釋出iOS 12.1.4更新 已修復Facetime安全漏洞蘋果iOS
- struts2架構網站漏洞修復詳情與利用漏洞修復方案架構網站
- 趨勢科技:微軟已修復IE7的最新安全漏洞微軟
- 如何修復AppScan漏洞APP
- TomcatAJP檔案包含漏洞及線上修復漏洞Tomcat
- weblogic T3 漏洞修復Web
- thinkcmf 網站最新漏洞修復方法網站
- WordPress 5.1.1 釋出 修復 CSRF 漏洞
- 雲伺服器修復apache漏洞伺服器Apache
- 微信小程式漏洞怎麼修復微信小程式
- 程式碼注入漏洞以及修復方法
- 任意檔案上傳漏洞修復
- Linux常見漏洞修復教程!Linux
- 修復一個kubernetes叢集
- WordPress網站漏洞利用及漏洞修復解決方案網站
- 網站漏洞修復之Metinfo 檔案上傳漏洞網站
- 網站漏洞檢測對漏洞檢測修復方案網站
- 騰訊安全玄武實驗室提交Apache Dubbo高危漏洞,官方已釋出修復版本Apache
- EA宣佈已修復影響3億玩家的Origin遊戲服務漏洞遊戲
- 沒有修復不了漏洞,只有修不成的工具人!
- 網站存在漏洞怎麼修復 如何修補網站程式程式碼漏洞網站
- 英特爾修復安全引擎高危漏洞;戴爾修復SupportAssist漏洞;三星釋出新品手機
- Win10安全中心怎麼更新漏洞修復_win10使用安全中心更新漏洞修復教程Win10
- 框架網站漏洞修復防護方法框架網站
- 網站被黑該怎麼修復漏洞網站
- SSH Server CBC Mode Ciphers Enabled漏洞修復Server
- 微軟修復 Cortana 智慧助手提權漏洞微軟
- Claws Mail 3.11.0 修復了POODLE 漏洞AI