Kubernetes重大漏洞？阿里云已第一时间全面修复

摘要： Kubernetes社区发现安全漏洞 CVE-2018-1002105，阿里云容器服务已在第一时间完成全面修复，敬请广大用户登陆阿里云控制台升级Kubernetes版本。

近日，Kubernetes社区发现安全漏洞 CVE-2018-1002105，阿里云容器服务已在第一时间完成全面修复，敬请广大用户登陆阿里云控制台升级Kubernetes版本。

目前Kubernetes开发团队已经发布V1.10.十一、V1.11.5修复补丁，阿里云容器服务也已在第一时间完成漏洞全面修复，用户登陆阿里云控制台便可一键升级。

更多信息能够移步公告《关于Kubernetes CVE-2018-1002105 提权漏洞的修复公告》

漏洞发现后的措施

具体而言有一下几种状况供你们参考：

1 用户选用阿里云容器服务K8s

影响范围有限，阿里云容器服务ACK一直在推动和保障最小权限原则，默认开启了RBAC，经过主帐号受权管理默认禁止了匿名用户访问。同时Kubelet 启动参数为”anonymous-auth=false”，提供了安全访问控制，防止外部入侵。对于使用子帐号的多租户ACK集群用户，子帐号访问Kubernetes，其帐号可能经过Pod exec/attach/portforward越权。若是集群只有管理员用户，则无需过分担忧。子帐号在不通过主帐号自定义受权的状况下默认不具备聚合API资源的访问权限。这些子帐号用户请选择合适业务时间升级，进入控制台点击一键更新安全版本Kubernetes。

2 若是是彻底自行搭建K8s

若是是在ECS上自建k8s的用户，请务必检查各项配置，若有失误，会引起较大安全风险。若用户在阿里云ECS服务器上自建Kubernetes集群，建议第一时间登陆Kubernetes官网下载最新版，作好备份给节点打快照，并检查好配置、确保权限最小化，选择合适业务时间升级。

3 若是是在无服务器版本

无服务器版本Kubernetes在此以前已额外加固，用户不受此漏洞影响

更多关于阿里云容器服务

本次漏洞有限，阿里云容器服务Kubernetes采用了企业级的安全防御设计，为云上开发者省去了不少烦恼：

• API Server配置默认禁止匿名访问
• 容器集群采用VPC方案，网络环境全隔离
• 用户能够选择在公网隐藏API Server
• 默认子账号没有访问集群资源的权限

此外，无服务器版本Kubernetes已提早加固，用户不受此漏洞影响。

去年11月，阿里云率先推出了Kubernetes管理服务，整合阿里云在虚拟化、存储、网络和安全能力的优点，提供多种应用发布方式和持续交付能力并支持微服务架构。用户可轻松建立、配置和管理虚拟机群集，在阿里云上部署和管理基于容器的应用程序。

为下降开发应用门槛，阿里云对Kubernetes能力进行了多重补充。好比，经过选择不一样节点，实现异构计算集群支持深度学习等场景，或者云上一键部署集群，集成解决方案。

阿里云容器服务采用了高性能的神龙技术架构，资源利用率提高了3倍以上，同时融合以太网RDMA技术25Gb网络，相比自建性能可提升数倍。同时，阿里云仍是业内首家提供ServiceMesh服务网格最佳实践及异地多活方案的云厂商。

安全是容器服务的重中之重。阿里云容器服务充分考虑了企业级的安全诉求，全部组件均提供双向证书验证，预制开启RBAC等鉴权能力，用户能够经过阿里云控制台能够安全地管理集群资源。

做为国内最大规模的公共云容器平台，阿里云已为西门子、新浪微博、国泰君安、小鹏汽车、安诺优达等数千多家企业提供容器服务。

原文连接