近日,安全中心监测到 Kubernetes 被曝存在 kubect cp 命令及 CNI 端口映射插件漏洞(漏洞编号:CVE-2019-1002101和CVE-2019-9946),攻击者可利用该漏洞可造成主机恶意文件写入等影响。

       为避免您的业务受影响,安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
【漏洞详情】
 CVE-2019-1002101:为 kubectl cp 命令存在的安全漏洞,风险相对较高,攻击者可使用 kubectl cp 命令替换或删除用户工作站上的文件,在用户计算机的任何路径上写入恶意文件。

CVE-2019-9946:为 Kubernetes CNI 框架中的安全漏洞,0.7.5之前版本的 CNI 插件端口映射和 Kubernetes 之间的交互中发现了安全问题,风险等级为中危。由于 CNI 端口映射插件默认嵌入到 Kubernetes 组件中,因而只有升级至新版本的 Kubernetes 才能解决此问题。

【风险等级】
   高风险
【漏洞风险】
   向用户主机进行任意文件写入
【影响版本】
  CVE-2019-1002101:除 Kubernetes 1.11.9、1.12.7、1.13.5、1.14.0 或更新版本之外的其他版本
   CVE-2019-9946:除 Kubernetes 1.11.9、1.12.7、1.13.5、1.14.0 或更新版本之外的其他版本 ,且 Kubernetes 与使用了端口映射插件的CNI配置配对
【安全版本】
   Kubernetes 1.11.9、1.12.7、1.13.5、1.14.0
【检查方式】
   CVE-2019-1002101:运行 kubectl version—client 命令,查看版本信息
   CVE-2019-9946:运行 kubectl version –short | grep Server,查看版本信息
【修复建议】
   升级到最新补丁版本的 Kubernetes(1.11.9、1.12.7、1.13.5和1.14.0)
【漏洞参考】