【風(fēng)險通告】Kubernetes權(quán)限提升漏洞
2018-12-07 09:51:39
2018年12月4日����,金山云安全應(yīng)急響應(yīng)中心監(jiān)控到關(guān)于Kubernetes 的修復(fù)版本已經(jīng)發(fā)布,修復(fù)了一個嚴(yán)重的權(quán)限提升漏洞CVE-2018-1002105���,該漏洞為Kubernetes的第一個嚴(yán)重漏洞���,可以提升普通用戶權(quán)限至超級管理員。
漏洞編號:
CVE-2018-1002105
漏洞名稱:
Kubernetes權(quán)限提升漏洞
漏洞危害等級:
嚴(yán)重
漏洞描述:
惡意用戶可以使用Kubernetes API服務(wù)器連接到后端服務(wù)器以發(fā)送任意請求�����,并通過Kubernetes API 服務(wù)器后端的TLS憑據(jù)進(jìn)行身份驗(yàn)證建立連接。該漏洞的嚴(yán)重性在于它可以進(jìn)行遠(yuǎn)程執(zhí)行�����,攻擊并不復(fù)雜�����,亦不需要用戶交互或特殊權(quán)限����。
影響版本:
Kubernetes v1.0.x-1.9.x
Kubernetes v1.10.0-1.10.10
Kubernetes v1.11.0-1.11.4
Kubernetes v1.12.0-1.12.2
修復(fù)方案:
升級Kubernetes
參考鏈接:
https://github.com/kubernetes/kubernetes/issues/71411
https://access.redhat.com/security/vulnerabilities/3716411