【独家】K8S漏洞报告 | CVE-2019-1002101解读
kubectl cp漏洞CVE-2019-1002101分析 Kube-proxy IPVS添加flag ipvs-strict-arp 近期bug fix数据分析 ——本期更新内容 kubectl cp漏洞 近期kubernetes的kubectl cp命令发现安全问题(CVE-2019-1002101),该问题严重程度比较高,建议将kubectl升级到Kubernetes 1.11.9,1.12.7,1.13.5或1.14.0版本以解决此问题。 kubectl cp命令允许用户在容器和主机之间复制文件,其基本原理是: 在源地址将文件打包。 打包输出内容作为stream流通过网络传递给目标地址。 传递路径包括:apiserver、kubelet、runtime stream流在目的地址作为tar的输入,解压。 具体执行过程可以参考kubernetes/pkg/kubectl/cmd/cp.go文件中的copyToPod和copyFromPod两个函数。 在这个过程中,如果容器中的tar二进制文件是恶意的,它可以运行任何代码并输出意外的恶意结果。当调用kubectl cp时,***者可以使用它将文件写入用户计算机上的任何路径,仅受本地用户的系统权限限制。 目前社区在1.11-1.14版本均修复了该问题,具体修复方式可参考: https://github.com/kubernetes