Kubernetes Kubectl曝安全漏洞，Rancher产品不受影响

北京时间9月19日，Kubernetes发布了一个编号为CVE-2019-11251的漏洞，该漏洞被标记为中等安全问题。其影响的Kubernetes版本为v1.13.十、v1.14.6和v1.15.3。通过分析，Rancher安全风险评估团队认为，这次Kubernetes CVE不会影响Rancher产品的安全问题，所以无需当即发布2.1.x和2.2.x版本，且咱们将在下一个季度的第一个维护版本中升级Rancher UI中使用的kubectl版本。

CVE-2019-11251

若是您没法肯定本身使用的版本是否受到安全漏洞的影响，您能够运行kubectl version –client这一命令，若是它返回的Kubernetes版本为v1.13.十、v1.14.6 和 v1.15.3，那么建议您尽快升级，详情参阅：

https://kubernetes.io/docs/tasks/tools/install-kubectl/

漏洞详情

这一漏洞和CVE-2019-1002101以及CVE-2019-11246十分相似。该漏洞容许两个symlink的组合将文件复制到其目标目录以外。这使得攻击者可使用目标树以外的symlink放置netfarious文件。

在Kubernetes 1.16中，经过移除在kubectl cp中对symlink的支持修复了这一问题。官方建议你使用exec命令行和tar包组合做为替代。详情请参阅：

https://github.com/kubernetes/kubernetes/pull/82143

根据这一安全漏洞，还有另外一种修复方式：改变kubectl cp un-tar symlink的逻辑，经过解压缩全部常规文件以后解压缩symlink。这样能够保证没法经过symlink写入文件。这一修复方式在v1.15.四、v1.14.7和v1.13.11中更新。

Kubernetes 1.16发布

美国时间9月18日Kubernetes发布了2019年的第三个新版本1.16。这一版本由31个加强功能组成：8个stable、8个beta、15个alpha。这一版本更新主要围绕如下4个方面：

1. Custom resources：CRD是Kubernetes扩展的轻量级机制，保证新类型资源的使用。在1.16版本中，CRD正式GA。
2. Admission webhooks：Admission webhook是Kubernetes的扩展机制，在1.9版本已经可使用beta版本，在1.16中，Admission webhook也正式GA。
3. Overhauled metrics：以前Kubernetes已普遍使用全局metrics registry来注册要公开的metrics。经过实现metrics registry，metrics能够以一种更为透明的方式注册。而在这以前，Kubernetes metrics 被排除在任何稳定性需求以外。
4. Volume Extension：在本次更新中有大量关于volume和volume修改相关的加强。CSI 规范中对 Volume 调整的支持正在转向 Beta 版本，它容许任何 CSI spec Volume 插件均可以调整大小。

更多新版本详情，请参阅：

https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG-1.16.md#v1160

Rancher的应对之策

Rancher安全风险评估团队通过分析后确认，这次Kubernetes CVE不会影响Rancher产品的安全问题，所以Rancher团队不会当即发布新的2.1.x和2.2.x修复版本，但在下季度计划发布的第一个维护版本中将升级Rancher UI中使用的kubectl版本。

用户将文件从容器复制到主机时，上游CVE会影响kubectl cp命令，进而会致使主机容许两个symlink将文件复制到目标目录以外。可是这一场景与Rancher UI中使用的kubectl无关，由于每一个kubectl会话仅启动临时数据存储，该数据存储在会话关闭时消失。

这次CVE不会对Rancher产品自身的安全性形成影响，理论上亦不属于Rancher产品支持范围，不过Rancher团队依然建议Rancher 2.x用户升级本身本地的kubectl版本，且Rancher也会在下季度计划发布的第一个维护版本中升级Rancher UI中使用的kubectl版本。

对于Rancher的企业级订阅客户，若是您对K8S这一CVE有任何疑虑、想要获取更多安全问题咨询或者升级指南，均可以联系Rancher Support Team获取技术支持。