【独家】K8S漏洞报告|近期bug fix解读&1.11主要bug fix汇总

内容提要：

1. 高危漏洞CVE-2018-1002105深度解读

2. 11/19--12/11 bug fix汇总分析

3. 1.11重要bug fix解读

4. 1.9重要bug fix解读

在本周的跟踪分析中，以1.11版本为例，共有24条bug fix，其中8条与Kubernetes核心内容相关。

另外，近期公布了一条高危漏洞，本文会对此进行具体分析。

由于社区目前已经停止维护1.9版本，建议大家尽快升级1.11。本文也将开始持续更新1.11版本bug fix解读，并停止更新1.9。

1 严重漏洞CVE-2018-1002105

深入解读

背景

近日kubernetes被爆出高位特权升级漏洞（CVE-2018-1002105），通过特制的网络请求，任何用户都可以通过Kubernetes应用程序编程接口（API）服务器与后端服务器建立连接。一旦建立，攻击者就可以通过网络连接直接向该后端发送任意请求。

攻击步骤

具体攻击步骤如下：

发送第一个请求，通过kube-apiserver创建一个错误的websocket请求（例如请求体中缺少必要的字段），去调用kubelet的api(例如exec pod)，使kubelet的api返回非101(StatusSwitchingProtocals)错误码（例如：400）。
发送第二个请求，通过kube-apiserver访问kubelet另一个越权的api（例如list pods），便可以绕过kube-apiserver的认证鉴权，获取同一个kubelet所有租户的pod信息。

攻击原理

攻击原理是：

kube-apiserver发送的websocket的请求转到kubelet，kubelet把错误信息返回给kube-apiserver后认为该请求已经结束了，因为kube-apiserver并没有判断kubelet的返回码，只做透传，kube-apiserver仍然保存着这个连接。
第二个请求，在kube-apiserver中直接复用第一个请求的连接，然后构造一个越权的api直接访问kubelet，此时kube-apiserver之前请求的长连接还在，直接透传，而kubelet认为是一个新的请求，直接响应返回结果给客户端，导致kube-apiserver中的认证鉴权失效。

修复版本

好在目前并未发现针对该漏洞的实际应用，社区也已经在所有维护的版本紧急修复了这个漏洞，包括：