CVE-2019-1002100漏洞

美國當?shù)貢r間2019年3月2日，Kubernetes社區(qū)發(fā)布了Kubernetes API server拒絕服務(wù)的漏洞（CVE-2019-1002100），即有API寫入權(quán)限的用戶在寫入資源時會導(dǎo)致Kubernetes API server過度消耗資源，此漏洞被評級為【中等嚴重性】。

創(chuàng)新互聯(lián)公司服務(wù)項目包括獲嘉網(wǎng)站建設(shè)、獲嘉網(wǎng)站制作、獲嘉網(wǎng)頁制作以及獲嘉網(wǎng)絡(luò)營銷策劃等。多年來，我們專注于互聯(lián)網(wǎng)行業(yè)，利用自身積累的技術(shù)優(yōu)勢、行業(yè)經(jīng)驗、深度合作伙伴關(guān)系等，向廣大中小型企業(yè)、政府機構(gòu)等提供互聯(lián)網(wǎng)行業(yè)的解決方案，獲嘉網(wǎng)站推廣取得了明顯的社會效益與經(jīng)濟效益。目前，我們服務(wù)的客戶以成都為中心已經(jīng)輻射到獲嘉省份的部分城市，未來相信會繼續(xù)擴大服務(wù)區(qū)域并繼續(xù)獲得客戶的支持與信任！

此漏洞表現(xiàn)為用戶在向Kubernetes API server發(fā)送 json-patch規(guī)則的補丁包來更新資源對象時（例如kubectl patch xxx --type json 或者“Content-Type: application/json-patch+json”)，Kubernetes API server會消耗極大的資源，最終導(dǎo)致API server拒絕連接。

https://github.com/kubernetes/kubernetes/issues/74534

情景再現(xiàn)

一個json-patch的例子：

kubectl patch deployment test --type='json' -p '[{"op": "add", "path": "/metadata/labels/test", "value": "test"}，{"op": "add", "path": "/metadata/labels/app", "value": "test"} ,{…} ]'

當我們向Kubernetes頻繁地發(fā)送多個json-patch請求來更新資源對象時，可以發(fā)現(xiàn)Kubernetes API server會消耗很多資源來處理我們的請求。

此時會有一部分資源的patch請求失敗，無法得到Kubernetes API server的響應(yīng)。

受此漏洞影響的Kubernetes API server的版本包括：

• v1.0.0 – 1.10.x

• v1.11.0 – 1.11.7

• v1.12.0 – 1.12.5

• v1.13.0 – 1.13.3

Kubernetes官方建議用戶在升級至修復(fù)版本之前，可針對此漏洞的采取的緩解措施為：

• 對不受信任用戶移除patch權(quán)限

漏洞修復(fù)

Kubernetes社區(qū)很快地修復(fù)了此漏洞，增加了對用戶json-patch操作數(shù)量的限制。

當用戶對某一資源對象修改的 json-patch 內(nèi)容超過10000個操作時，Kubernetes API server會返回413（RequestEntityTooLarge）的錯誤。

錯誤信息如下：

Request entity too large: The allowed maximum operations in a JSON patch is 10000, got 10004

修復(fù)的Kubernetes版本包括：

• v1.11.8

• v1.12.6

• v1.13.4

Rancher已發(fā)布最新版本應(yīng)對此次漏洞

此次也一如既往，在Kubernetes自身爆出漏洞之后，Rancher Labs團隊都第一時間響應(yīng)，保障使用Rancher平臺管理Kubernetes集群的用戶的安全。

如果你是使用Rancher平臺管理Kubernetes集群，不用擔心，Rancher已于今日發(fā)布了最新版本，支持包含漏洞修復(fù)的Kubernetes版本，保障所有Rancher用戶的Kubernetes集群不受此次漏洞困擾。

最新發(fā)布的Rancher版本為：

• v2.1.7（提供Kubernetes v1.11.8, v1.12.6, v1.13.4支持）

• v2.0.12（提供Kubernetes v1.11.8支持）

• 對于Rancher 1.6.x的用戶，可以在Rancher v1.6.26的Catalog中使用Kubernetes發(fā)布的修復(fù)版本 v1.11.8和v1.12.6

此次漏洞會影響的Kubernetes版本范圍較廣，建議中招的用戶盡快升級喲！

為用戶的Docker & K8S之旅護航

Rancher Kubernetes平臺擁有著超過一億次下載量，我們深知安全問題對于用戶而言的重要性，更遑論那些通過Rancher平臺在生產(chǎn)環(huán)境中運行Docker及Kubernetes的數(shù)千萬用戶。

2018年年底Kubernetes被爆出的首個嚴重安全漏洞CVE-2018-1002105，就是由Rancher Labs聯(lián)合創(chuàng)始人及首席架構(gòu)師Darren Shepherd發(fā)現(xiàn)的。

2019年1月Kubernetes被爆出儀表盤和外部IP代理安全漏洞CVE-2018-18264時，Rancher Labs也是第一時間向用戶響應(yīng)，確保所有Rancher 2.x和1.6.x的用戶都完全不被漏洞影響。

2019年2月爆出的嚴重的runc容器逃逸漏洞CVE-2019-5736，影響到大多數(shù)Docker與Kubernetes用戶，Rancher Kubernetes管理平臺和RancherOS操作系統(tǒng)均在不到一天時間內(nèi)緊急更新，是業(yè)界第一個緊急發(fā)布新版本支持Docker補丁版本的平臺，還幫忙將修復(fù)程序反向移植到所有版本的Docker并提供給用戶，且提供了連Docker官方都不支持的針對Linux 3.x內(nèi)核的修復(fù)方案。

負責、可靠、快速響應(yīng)、以用戶為中心，是Rancher始終不變的初心；在每一次業(yè)界出現(xiàn)問題時，嚴謹踏實為用戶提供相應(yīng)的應(yīng)對之策，也是Rancher一如既往的行事之道。未來，Rancher也將一如既往支持與守護在用戶的K8S之路左右，確保大家安全、穩(wěn)妥、無虞地繼續(xù)前進??