【風(fēng)險(xiǎn)通告】Kubernetes權(quán)限提升漏洞
2018-12-07 09:51:39
2018年12月4日��,金山云安全應(yīng)急響應(yīng)中心監(jiān)控到關(guān)于Kubernetes 的修復(fù)版本已經(jīng)發(fā)布�,修復(fù)了一個(gè)嚴(yán)重的權(quán)限提升漏洞CVE-2018-1002105,該漏洞為Kubernetes的第一個(gè)嚴(yán)重漏洞�����,可以提升普通用戶權(quán)限至超級(jí)管理員��。
漏洞編號(hào):
CVE-2018-1002105
漏洞名稱:
Kubernetes權(quán)限提升漏洞
漏洞危害等級(jí):
嚴(yán)重
漏洞描述:
惡意用戶可以使用Kubernetes API服務(wù)器連接到后端服務(wù)器以發(fā)送任意請(qǐng)求�����,并通過Kubernetes API 服務(wù)器后端的TLS憑據(jù)進(jìn)行身份驗(yàn)證建立連接����。該漏洞的嚴(yán)重性在于它可以進(jìn)行遠(yuǎn)程執(zhí)行�,攻擊并不復(fù)雜�,亦不需要用戶交互或特殊權(quán)限�����。
影響版本:
Kubernetes v1.0.x-1.9.x
Kubernetes v1.10.0-1.10.10
Kubernetes v1.11.0-1.11.4
Kubernetes v1.12.0-1.12.2
修復(fù)方案:
升級(jí)Kubernetes
參考鏈接:
https://github.com/kubernetes/kubernetes/issues/71411
https://access.redhat.com/security/vulnerabilities/3716411