更糟糕的是,在 Kubernetes 的默认配置中,允许所有用户(经过身份验证和未经身份验证的用户)执行允许此升级的发现 API 调用。也就是说,任何了解这个漏洞的人都可以掌控你的 Kubernetes 集群。
最后的痛苦之处在于,对于用户而言,没有简单的方法来检测此漏洞是否已被使用。由于未经授权的请求是通过已建立的连接进行的,因此它们不会出现在 Kubernetes API 服务器审核日志或服务器日志中。请求确实会出现在 kubelet 或聚合的 API 服务器日志中,但是却无法与正确通过 Kubernetes API 服务器授权和代理的请求区分开来。
现在,Kubernetes 已经发布了修补版本 v1.10.11、v1.11.5、v1.12.3 和 v1.13.0-rc.1。如果仍在使用 Kubernetes v1.0.x 至 Kubernetes v1.9.x 版本,请即刻停止使用并升级到修补版本。
如果由于某种原因无法进行升级,也必须暂停使用聚合的 API 服务器,并从不应具有对 kubelet API 的完全访问权限的用户中删除 pod exec/attach/portforward 权限(不过也有用户认为这种解决方法的糟糕程度和这个漏洞问题本身不相上下了)。
领取专属 10元无门槛券
私享最新 技术干货