【每日安全资讯】Kubernetes 被曝严重安全漏洞 严重性评估高达9.8分
近日,Kubernetes 被爆出严重安全漏洞,该漏洞 CVE-2018-1002105(又名 Kubernetes 特权升级漏洞,https://github.com/kubernetes/kubernetes/issues/71411)被确认为严重性 9.8 分(满分 10 分)。具体来说,恶意用户可以使用 Kubernetes API 服务器连接到后端服务器以发送任意请求,并通过 API 服务器的 TLS 凭证进行身份验证。这一安全漏洞的严重性更在于它可以远程执行,攻击并不复杂,不需要用户交互或特殊权限。
图片来自于 WikiMedia
更糟糕的是,在 Kubernetes 的默认配置中,允许所有用户(经过身份验证和未经身份验证的用户)执行允许此升级的发现 API 调用。也就是说,任何了解这个漏洞的人都可以掌控你的 Kubernetes 集群。最后的痛苦之处在于,对于用户而言,没有简单的方法来检测此漏洞是否已被使用。由于未经授权的请求是通过已建立的连接进行的,因此它们不会出现在 Kubernetes API 服务器审核日志或服务器日志中。请求确实会出现在 kubelet 或聚合的API服务器日志中,但是却无法与正确通过 Kubernetes API 服务器授权和代理的请求区分开来。现在,Kubernetes 已经发布了修补版本 v1.10.11、v1.11.5、v1.12.3 和 v1.13.0-rc.1。如果仍在使用 Kubernetes v1.0.x 至 Kubernetes v1.9.x 版本,请即刻停止使用并升级到修补版本。如果由于某种原因无法进行升级,也必须暂停使用聚合的 API 服务器,并从不应具有对 kubelet API 的完全访问权限的用户中删除 pod exec/attach/portforward 权限(不过也有用户认为这种解决方法的糟糕程度和这个漏洞问题本身不相上下了)。*来源:开源中国更多资讯◈ 大事不好!Linux.org 被黑,或因众人不满其行为准则https://mp.weixin.qq.com/s/BAsj68FdNW0gySLGh0YUdA
◈ Google Play 里的 22 款应用发现含有后门
http://t.cn/EyjtN5h◈ 白宫网络安全顾问:听说日本网安部长没用过电脑,不知道USB是什么,你们以为我就懂网络安全了?http://t.cn/EyjtjwO◈ 购物季?网购狂欢背后的渔夫和水坑http://t.cn/EyjtR6Q◈ Mozilla担忧Edge拥抱Chromium会伤害互联网的健康发展http://t.cn/Eyjt1Zz(信息来源于网络,安华金和搜集整理)
- 【每日安全资讯】phpMyAdmin被曝存在严重CSRF漏洞可对数据库造成破坏
- 【每日安全资讯】2017年软件漏洞数量将破纪录
- 【每日安全资讯】新论文指出全世界核武计算机系统过时且具严重安全隐患
- 【每日安全资讯】通过JBoss反序列化(CVE-2017-12149)浅谈Java反序列化漏洞
- 【每日安全资讯】Flash 0day 漏洞正被利用针对韩国目标
- 【每日安全资讯】修复CPU漏洞后 i7版Surface Book重伤:SSD性能腰斩
- 【每日安全资讯】GitHub遭受有史以来最严重DDoS攻击 现已恢复
- 【每日安全资讯】首个CPU漏洞病毒完工:自曝手法很疯狂
- 【每日安全资讯】漏洞预警 | WebLogic XMLDecoder反序列化漏洞(CVE-2017-10271)
- 【每日安全资讯】特斯拉公共云曾被黑客入侵并隐匿挖矿 漏洞已顺利修复
- 【每日安全资讯】新手上路 | 看我如何发现大疆公司网站的一个小漏洞
- Heartbleed Bug:OpenSSL被曝严重安全漏洞
- 【每日安全资讯】暴雪游戏存在DNS重绑定漏洞可导致玩家电脑被远程劫持
- 【每日安全资讯】存在5年的漏洞 竟可以从Linux服务器获取暴利
- Linux再曝安全漏洞Bash 比“心脏出血”还严重
- 【每日安全资讯】教育部人社部财政部三部门规范信息公开--保护隐私杜绝个人敏感信息泄露
- 【每日安全资讯】门罗币并不匿名
- 【每日安全资讯】不接受隐私条款就不能用App?全国人大常委会回应
- 新浪通行证在线申诉找回密码业务逻辑错误导致严重安全漏洞