kubernetes_2020年Kubernetes漏洞及其修复方法

最新推荐文章于 2025-04-17 11:44:54 发布
最新推荐文章于 2025-04-17 11:44:54 发布
阅读量2.1k 收藏
点赞数
文章标签: python
原文链接:https://medium.com/better-programming/kubernetes-vulnerabilities-in-2020-and-how-to-fix-them-6906f07ef10e
版权
本文翻译自Medium,探讨了2020年Kubernetes面临的安全漏洞,并详细介绍了针对这些漏洞的修复方法,以保障集群的安全运行。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

kubernetes

Vulnerabilities in open source are vital to a lot of organizations and developers are paying close attention to. Any little breach can be very bad, especially when it comes to container orchestration.

开源漏洞对于许多组织至关重要,开发人员正在密切关注。 任何小的违反都可能是非常糟糕的,尤其是在涉及容器编排时。

Kubernetes has become one of the leaders in the container market. Most companies are now employing the capabilities of Kubernetes to manage their container workloads.

Kubernetes已成为集装箱市场的领导者之一。 现在,大多数公司都在使用Kubernetes的功能来管理其容器工作负载。

According to a survey, over 86% of companies are using Kubernetes for their container operations. Also, self-managed Kubernetes (35%) is now second to Amazon EKS (37%) with just a 2% difference after previously being the most used. Take a look at the figures below:

根据一项调查,超过86%的公司正在使用Kubernetes进行其容器运营。 此外,自我管理的Kubernetes(35%)现在仅次于Amazon EKS(37%),仅次于最常用的2%,仅次于Amazon EKS。 看一下下面的数字:

Image for post

With all these, you should have guessed by now that there will be a lot of accompanying security vulnerabilities. For every version released, there’s a list of security vulnerabilities discovered and fixes released.

有了这些,您现在应该已经猜到会有很多伴随的安全漏洞。 对于每个发布的版本,都有一个发现的安全漏洞和发布的修复程序的列表。

In this article, we’ll be exploring the Kubernetes security vulnerabilities that have been found this year so far, and the security best practices to follow so you can avoid and fix them.

在本文中,我们将探索今年迄今为止发现的Kubernetes安全漏洞,以及遵循的最佳安全最佳实践 ,您可以避免和修复它们。

Kubernetes ContainerNetworking — CVE-2020–10749 (Kubernetes ContainerNetworking — CVE-2020–10749)

This was found in all versions of container networking/plugins before the version 0.8.6. It allowed containers in Kubernetes clusters to perform man-in-the-middle (MitM) attacks.

在版本0.8.6之前的所有版本的容器网络/插件中都可以找到它。 它允许Kubernetes集群中的容器执行中间人(MitM)攻击。

A malicious container can send rogue IPv6 router advertisements to the host or other containers, to redirect traffic to the malicious

最低0.47元/天 解锁文章
K8S 生态周报| Kubernetes 爆出全版本漏洞
k8s 生态
09-19 709
“「K8S 生态周报」内容主要包含我所接触到的 K8S 生态相关的每周值得推荐的一些信息。欢迎订阅知乎专栏「k8s生态」[1]。”大家好,我是张晋涛。Kubernetes CVE-2022-3172 安全漏洞扩展 Kubernetes方法有很多种,目前扩展 API 方面用到最多的是 自定义资源定义(CRD)和聚合 API(Aggregation API)。 自定义资源定义主要是为了让 Kube...
Kubernetes重大漏洞?阿里云已第一时间全面修复
weixin_34082789的博客
12-07 187
近日,Kubernetes社区发现安全漏洞 CVE-2018-1002105,阿里云容器服务已在第一时间完成全面修复,敬请广大用户登录阿里云控制台升级Kubernetes版本。 目前Kubernetes开发团队已经发布V1.10.11、V1.11.5修复补丁,阿里云容器服务也已在第一时间完成漏洞全面修复,用户登录阿里云控制台即可一键升级。 更多信息可以...
【云安全】云原生- K8S IngressNightmare CVE-2025-1974(漏洞复现完整教程)
仇辉攻防的博客
04-17 1506
由于我这里的环境是模拟失陷POD(贴近实际),属于集群内部网络访问,无需端口转发,用第6、7行的URL即可,注释12、13行;编译前,先了解ingress-nginx controller执行.so文件依赖的库版本,编译时指定同样的库版本。版本选择:先看Ingress漏洞版本,倒推K8S版本,参考ingress-nginx官方适配表。我之前搭过一版K8S,是1.23.6,因此对应安装1.6.4的ingress,处于漏洞版本内。同样,看一下编译的机器库版本,发现有3版本可以用。
Kubernetes首爆严重安全漏洞,请升级你的Kubernetes
啊啊啊啊2
02-19 167
Kubernetes最近爆出特权升级漏洞,这是Kubernetes的首个重大安全漏洞。为了修补这个严重的漏洞Kubernetes近日推出了几个新版本。谷歌高级工程师Jordan Liggitt在周一发布的Kubernetes安全公告中称,Kubernetes v1.10.11、v1.11.5,v1.12.3和v1.13.0-rc.1已经发布了修复版本,修复了特权升级漏洞CVE-2018-1002...
Kubernetes(K8s)相关漏洞介绍
weixin_45945976的博客
10-31 1078
Kubernetes Image Builder通过Proxmox Provider构建的VM镜像中存在默认凭证漏洞(SSH账户builder/builder),由于这些默认凭证未在镜像构建完成后被修改或禁用,导致未授权攻击者可以利用它们通过SSH连接到使用受影响镜像的虚拟机,从而获得对目标节点的访问权限。这些只是一部分已知的Kubernetes安全漏洞,实际的安全风险可能更多,因此,定期更新和打补丁、遵循最佳实践进行安全管理是非常重要的。:集群内部的服务间通信如果没有充分加密,可能导致数据泄露。
Kubernetes曝出“先天性漏洞”,所有版本都中招
weixin_45727359的博客
12-11 482
Kubernetes(又名K8s)是Google开源的容器集群管理系统(谷歌内部:Borg),现在由Cloud Native Computing Foundation维护,旨在帮助提升D...
kubernetes-client-linux-amd64.tar.gz
06-08
描述中的 "V1.18.20" 表示这是 Kubernetes 的一个特定稳定版本,发布于 2020 。每个版本都有其特性、改进和修复漏洞。V1.18 版本引入了一些关键功能,例如增强的网络策略、API 资源的批量操作以及对 StatefulSet...
云服务器修复漏洞用重启吗,漏洞修复后要重启吗
weixin_36159799的博客
08-11 875
漏洞修复后要重启吗 内容精选换一换Windows系统漏洞修复完成后需要手动重启主机。Linux系统Kernel类的漏洞修复完成后需要手动重启主机,其它类型漏洞修复完成后不重启也能生效。windows系统漏洞修复完成后需要手动重启。Linux系统Kernel类的漏洞修复完成后需要手动重启。如何处理配置风险?漏洞修复后要重启吗 相关内容Linux软件漏洞和Windows系统漏洞:您可以使用一键修复功能...
阿里云专有云企业版V3.12.0容器服务Kubernetes安全指南
"阿里云专有云企业版V3.12.0的容器服务Kubernetes版的安全白皮书发布于20206月17日,旨在详细阐述该服务的安全特性、最佳实践以及使用注意事项。此文档是商业资料,包含关于Kubernetes集群在阿里云上的安全策略和...
阿里巴巴超大规模Kubernetes基础设施运维体系解读
阿里云云栖号
12-27 1477
简介:ASI:Alibaba Serverless infrastructure,阿里巴巴针对云原生应用设计的统一基础设施。ASI 基于阿里云公共云容器服务 ACK之上,支撑集团应用云原生化和云产品的Serverless化的基础设施平台。 作者 | 仔仁、墨封、光南 来源 | 阿里技术公众号 一 序言 ASI:Alibaba Serverless infrastructure,阿里巴巴针对云原生应用设计的统一基础设施。ASI 基于阿里云公共云容器服务 ACK之上,支撑集团应用云原生化和云产品的Se
高危!!Kubernetes 新型容器逃逸漏洞预警
k8s 生态
03-02 433
2022 1 月 18 日,Linux 维护人员和供应商在 Linux 内核(5.1-rc1+)文件系统上下文功能的 legacy_parse_param 函数中发现一个堆缓冲区溢出[...
K8S 生态周报| 深入源码剖析 Kubernetes漏洞
k8s 生态
11-21 460
“「K8S 生态周报」内容主要包含我所接触到的 K8S 生态相关的每周值得推荐的一些信息。欢迎订阅知乎专栏「k8s生态」[1]。”大家好,我是张晋涛。上游进展Kubernetes 发布了 v1.22.16 和 1.23.14,1.24.8,1.25.4等版本,其中最重要的就是以下两个安全漏洞了。CVE-2022-3162当用户被授权允许在集群范围内 list 或 watch 某个 namespac...
多个Kubernetes 高危漏洞可用于在 Windows 端点执行远程攻击
smellycat000的专栏
09-14 283
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Kubernetes 中存在三个相互关联的高危漏洞,可用于以提升权限在集群的Windows 端点上实现远程代码执行。这些漏洞是CVE-2023-3676、CVE-2023-3893和CVE-2023-3955,CVSS评分为8.8,影响所有具有Windows 节点的K8s 环境。经 Akamai 公司在20237月13日报送后,修复方案已在20...
Kubernetes Api Server未授权访问漏洞
weixin_71053667的博客
08-05 465
Kubernetes 的服务在正常启动后会开启两个端口:Localhost Port (默认8080)、Secure Port (默认6443)。这两个端口都是提供 Api Server 服务的,一个可以直接通过 Web 访问,另一个可以通过 kubectl 客户端进行调用。如果运维人员没有合理的配置验证和权限,那么攻击者就可以通过这两个接口去获取容器的权限。步骤二:在打开的网页中直接访问 8080 端口会返回可用的 API 列表。步骤一:使用以下Fofa语法搜索Kubernetes产品。
Kubernetes首个严重安全漏洞发现者,谈发现过程及原理机制
weixin_33968104的博客
12-07 181
北美时间11月26日,Kubernetes爆出严重安全漏洞,该漏洞由Rancher Labs联合创始人及首席架构师Darren Shepherd发现。该漏洞CVE-2018-1002105(又名Kubernetes特权升级漏洞,https://github.com/kubernetes/kubernetes/issues/71411)被确认为严重性9.8分(满分10分),恶意...
Kubernetes漏洞修复:CVE 脆弱性的编程实践
DevProZ的博客
09-18 189
通过遵循这些最佳实践,可以提高Kubernetes集群的安全性,并保护您的应用和数据免受潜在Kubernetes漏洞修复:CVE 安全漏洞的编程实践。使用安全上下文:在容器的配置中,使用适当的安全上下文来限制容器的权限。例如,使用最小特权原则(Principle of Least Privilege),以最小的权限运行容器,从而减少攻击者利用容器的可能性。使用安全上下文:在容器的配置中,使用适当的安全上下文来限制容器的权限。通过将镜像更新为经过安全审查和验证的镜像,我们可以修复潜在的CVE漏洞
漏洞复现】Kubernetes PPROF内存泄漏漏洞(CVE-2019-11248)
晚风不及你
01-16 6942
Kubernetes(简称K8S)是Google在2014开源的一个容器集群管理系统。它用于容器化应用程序的部署、扩展和管理,目标是让部署容器化应用简单且高效。
Kubernetes首爆严重安全漏洞,请升级你的Kubernetes
weixin_37098404的博客
12-04 362
编辑 | 无明,张婵Kubernetes 首爆严重安全漏洞,该漏洞可以无形的方式入侵 KubernetesKubernetes 最近爆出特权升级漏洞,这是 Kuberne...
Netflix发现了严重的Kubernetes HTTP / 2漏洞
开源云中文社区
08-28 335
在了解互联网的HTTP / 2协议如何工作的时候,Netflix工程师发现了Kubernetes的一系列漏洞。主要的漏洞是在用Go语言编写的net / https库中找到...
kubernetes_sd_configs
最新发布
04-23
<think>好的,用户想了解如何在Prometheus中使用kubernetes_sd_configs进行服务发现。我需要先回忆一下相关知识点,然后结合提供的引用内容来组织回答。 首先,kubernetes_sd_configs是Prometheus中用于自动发现Kubernetes集群内目标的配置模块。根据引用[2]和[3],Prometheus-Operator通过ServiceMonitor来简化配置,但用户现在直接询问的是原生的kubernetes_sd_configs使用方法,可能需要基础配置示例。 用户可能需要了解不同的发现角色(role),比如node、service、pod等,每个角色对应不同的目标。需要给出每个角色的配置示例,并说明如何过滤标签,使用relabel_configs来重写标签,这是服务发现的关键部分。 另外,用户可能关心权限问题,比如Prometheus需要有访问Kubernetes API的权限,所以需要提到RBAC配置,如ServiceAccount、ClusterRole和Binding。这部分在引用中没有直接提到,但根据经验,这是必须的步骤。 还需要注意事项,比如目标标签的维护、性能影响和版本兼容性。引用[2]提到Operator自动生成配置,但原生配置需要手动管理,这点可以作为对比,帮助用户理解不同方法的优劣。 最后生成相关问题,要覆盖配置方法、角色类型、权限设置、与Operator方式的比较,以及常见问题排查。这样用户如果有进一步的问题,可以自行探索。</think>### Kubernetes SD 配置(kubernetes_sd_configs)使用方法 在Prometheus中,`kubernetes_sd_configs` 是用于实现Kubernetes服务发现的核心配置模块,能够自动识别集群中的节点、服务、Pod等资源并动态更新监控目标。以下是具体配置方法及示例: --- #### 1. 基础配置结构 在`prometheus.yml`的`scrape_configs`中添加`kubernetes_sd_configs`配置块,定义需要发现的Kubernetes资源类型(通过`role`参数指定): ```yaml scrape_configs: - job_name: "kubernetes-nodes" kubernetes_sd_configs: - role: node # 支持的角色包括:node、service、pod、endpoints、ingress等 relabel_configs: # 通过标签重写规则筛选目标 - source_labels: [__address__] regex: "(.*):10250" replacement: "${1}:9100" target_label: __address__ ``` --- #### 2. 常见角色类型与配置示例 - **Node发现**(监控集群节点): ```yaml - job_name: "k8s-nodes" kubernetes_sd_configs: - role: node relabel_configs: - action: labelmap # 将Kubernetes标签映射到Prometheus标签 regex: __meta_kubernetes_node_label_(.+) ``` - **Pod发现**(监控所有Pod): ```yaml - job_name: "k8s-pods" kubernetes_sd_configs: - role: pod relabel_configs: - source_labels: [__meta_kubernetes_pod_annotation_prometheus_io_scrape] action: keep regex: true # 仅抓取包含特定注解的Pod ``` - **Service发现**(监控服务端点): ```yaml - job_name: "k8s-services" kubernetes_sd_configs: - role: service metrics_path: /metrics relabel_configs: - source_labels: [__meta_kubernetes_service_annotation_prometheus_io_port] regex: (.+) target_label: __metrics_path__ ``` --- #### 3. 权限配置 Prometheus需要访问Kubernetes API以获取资源信息,需配置RBAC权限: ```yaml # ServiceAccount apiVersion: v1 kind: ServiceAccount metadata: name: prometheus namespace: monitoring # ClusterRole apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRole metadata: name: prometheus rules: - apiGroups: [""] resources: ["nodes", "services", "pods", "endpoints"] verbs: ["get", "list", "watch"] # ClusterRoleBinding apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRoleBinding metadata: name: prometheus subjects: - kind: ServiceAccount name: prometheus namespace: monitoring roleRef: kind: ClusterRole name: prometheus apiGroup: rbac.authorization.k8s.io ``` --- #### 4. 注意事项 - **标签重写(Relabeling)**:通过`relabel_configs`可过滤无用目标或重写标签,例如仅监控特定命名空间的Pod[^3]。 - **性能优化**:避免过于宽泛的发现规则,大规模集群中需限制目标数量。 - **兼容性**:不同Prometheus版本对Kubernetes API的支持可能不同。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值