【中危】- Kubernetes容器节点漏洞绕过本地主机边界通告(CVE-2020-8558)
■ 漏洞描述
kube-proxy组件在iptables和ipvs模式下均需要设置内核参数net.ipv4.conf.all.route_localnet=1,从而允许本地回环访问。 攻击者可能通过共享主机网络的容器,或在集群节点上访问同一个二层网络下的相邻节点上绑定监听了本地127.0.0.1端口的TCP/UDP服务,从而获取接口信息。如果服务没有设置必要的安全认证,可能造成信息泄露风险。
■ 影响范围
kube-proxyv1.18.0~v1.18.3
kube-proxyv1.17.0~v1.17.6
kube-proxy小于v1.16.10
■ 漏洞检测
检测方法:
1、查看系统版本。
■ 漏洞修复
升级到安全版本,全版本: kube-proxyv1.18.4+
kube-proxyv1.17.7+
kube-proxyv1.16.11+
下载地址:
https://kubernetes.io/docs/reference/command-line-tools-reference/kube-proxy/
■ 临时修复
官方临时方案:
1.升级之前,可以通过在节点上手动添加iptables规则来缓解此漏洞。
iptables -I INPUT --dst 127.0.0.0/8 ! --src 127.0.0.0/8 -m conntrack ! --ctstate RELATED,ESTABLISHED,DNAT -j DROP
2.如果您的集群尚未禁用API Server不安全端口,强烈建议禁用它。将以下标志添加到kubernetes API服务器命令行中:
--insecure-port=0
■ 漏洞详情
https://mp.weixin.qq.com/s/eMgwXiNeLi7IXRIfAMwJwg
kube-proxy组件在iptables和ipvs模式下均需要设置内核参数net.ipv4.conf.all.route_localnet=1,从而允许本地回环访问。 攻击者可能通过共享主机网络的容器,或在集群节点上访问同一个二层网络下的相邻节点上绑定监听了本地127.0.0.1端口的TCP/UDP服务,从而获取接口信息。如果服务没有设置必要的安全认证,可能造成信息泄露风险。
■ 影响范围
kube-proxyv1.18.0~v1.18.3
kube-proxyv1.17.0~v1.17.6
kube-proxy小于v1.16.10
■ 漏洞检测
检测方法:
1、查看系统版本。
■ 漏洞修复
升级到安全版本,全版本: kube-proxyv1.18.4+
kube-proxyv1.17.7+
kube-proxyv1.16.11+
下载地址:
https://kubernetes.io/docs/reference/command-line-tools-reference/kube-proxy/
■ 临时修复
官方临时方案:
1.升级之前,可以通过在节点上手动添加iptables规则来缓解此漏洞。
iptables -I INPUT --dst 127.0.0.0/8 ! --src 127.0.0.0/8 -m conntrack ! --ctstate RELATED,ESTABLISHED,DNAT -j DROP
2.如果您的集群尚未禁用API Server不安全端口,强烈建议禁用它。将以下标志添加到kubernetes API服务器命令行中:
--insecure-port=0
■ 漏洞详情
https://mp.weixin.qq.com/s/eMgwXiNeLi7IXRIfAMwJwg