【每日安全资讯】Kubernetes 被曝严重安全漏洞 严重性评估高达9.8分

近日，Kubernetes 被爆出严重安全漏洞，该漏洞 CVE-2018-1002105（又名 Kubernetes 特权升级漏洞，https://github.com/kubernetes/kubernetes/issues/71411）被确认为严重性 9.8 分（满分 10 分）。具体来说，恶意用户可以使用 Kubernetes API 服务器连接到后端服务器以发送任意请求，并通过 API 服务器的 TLS 凭证进行身份验证。这一安全漏洞的严重性更在于它可以远程执行，攻击并不复杂，不需要用户交互或特殊权限。 图片来自于 WikiMedia
更糟糕的是，在 Kubernetes 的默认配置中，允许所有用户（经过身份验证和未经身份验证的用户）执行允许此升级的发现 API 调用。也就是说，任何了解这个漏洞的人都可以掌控你的 Kubernetes 集群。最后的痛苦之处在于，对于用户而言，没有简单的方法来检测此漏洞是否已被使用。由于未经授权的请求是通过已建立的连接进行的，因此它们不会出现在 Kubernetes API 服务器审核日志或服务器日志中。请求确实会出现在 kubelet 或聚合的API服务器日志中，但是却无法与正确通过 Kubernetes API 服务器授权和代理的请求区分开来。现在，Kubernetes 已经发布了修补版本 v1.10.11、v1.11.5、v1.12.3 和 v1.13.0-rc.1。如果仍在使用 Kubernetes v1.0.x 至 Kubernetes v1.9.x 版本，请即刻停止使用并升级到修补版本。如果由于某种原因无法进行升级，也必须暂停使用聚合的 API 服务器，并从不应具有对 kubelet API 的完全访问权限的用户中删除 pod exec/attach/portforward 权限（不过也有用户认为这种解决方法的糟糕程度和这个漏洞问题本身不相上下了）。*来源：开源中国更多资讯◈ 大事不好！Linux.org 被黑，或因众人不满其行为准则https://mp.weixin.qq.com/s/BAsj68FdNW0gySLGh0YUdA

◈ Google Play 里的 22 款应用发现含有后门
http://t.cn/EyjtN5h◈ 白宫网络安全顾问：听说日本网安部长没用过电脑，不知道USB是什么，你们以为我就懂网络安全了？http://t.cn/EyjtjwO◈ 购物季？网购狂欢背后的渔夫和水坑http://t.cn/EyjtR6Q◈ Mozilla担忧Edge拥抱Chromium会伤害互联网的健康发展http://t.cn/Eyjt1Zz（信息来源于网络，安华金和搜集整理）