Kubernetes Kubectl CLI 工具曝出「高危」安全漏洞

Kubernetes社區在Kubernetes平台的一個組件中發現了一個「高危」安全漏洞，可能會刪掉用戶工作站上的文件。就在曝出這個最新的安全問題之前，最新版Kubernetes剛剛發布，該平台去年年底傳出了第一個重大的安全漏洞。

Kubectl是一個命令行介面（CLI），用於針對Kubernetes集群運行命令。它基本上允許在容器和用戶的機器之間拷貝文件。

Twistlock的安全研究人員Ariel Zelivansky本月早些時候發現了這個最新的安全問題。他解釋道，新漏洞與去年發布的一個補丁有關。

廣大開發人員被要求將kubectl版本更新到Kubernetes 1.11.9、1.12.7、1.13.5和1.14.0以解決該問題。大多數主要的Kubernetes發行版也向託管平台發送了更新版。

Aqua Security公司的產品營銷副總裁Rani Osnat特別指出，最新的這個漏洞不如「披露的另一些CVE來得嚴重，因為要鑽它的空子相當困難，需要在集群內部使用非授權容器。」他補充道，Kubernetes用戶應「記得只使用可信任的映像，使用[Center for Internet Security Kubernetes]基準測試等最佳實踐，並監控集群，查找是否存在任何可疑行為。」

kubectl安全更新包含在一年前發布的Kubernetes 1.10版本中，它通過外部kubectl憑據提供者（external kubectl credential providers）提供了擴展點。這讓雲提供商、供應商和開發人員得以發布為特定的雲提供商身份和訪問管理（IAM）服務處理身份驗證的二進位插件。

過去的版本

Aaron Crickenberger是最新Kubernetes更新的發布負責人，他在發給IT外媒SDxCentral的電子郵件中特別指出，Kubernetes社區並不認為安全與特定的更新有關，而是「需要不斷加以評估和改進。」

Crickenberger解釋：「這個版本包含了眾多修正版和安全修復程序――與任何Kubernetes版本一樣，但很少與這個RBAC變更一樣被用戶容易看見。」他確實補充道，正在通過去年成立的安全審計工作組開展更深入的工作。

去年12月發布的Kubernetes 1.13因發現一個「危急」漏洞而導致形象受損，該漏洞使黑客對於在Kubernetes集群中運行的任何計算節點擁有全面的管理許可權。該漏洞由Rancher Labs的軟體工程師發現，在通用漏洞評分系統（CVSS）中獲得了9.8分（危急，最高分是10分）的評分。

Osnat表示，Kubernetes是個「複雜的系統，必然會有漏洞。CVE披露變得越來越常見，這是件好事，事實上它們不是很嚴重。」

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！