Kubernetes出现重大漏洞 使黑客可透过 API 下达非授权命令

容器技术在网站开发上相当方便，也被各家云端业者支持。不过其中受欢迎的容器项目 Kubernetes，首度被回报重大漏洞。黑客只要用特殊的网络联机请求，就能透过 API 连到后端下达非授权不符权限的命令。

容器技术重要支持厂商红帽称 CVE-2018-1002105 漏洞为特权升级缺陷，除了被不肖分子偷敏感数据或是注入恶意代码，还能让程序或服务在防火墙内被攻破下线。文章转自：SBF胜博发

随着容器技术的发达，Kubernetes 越来越普及，也造成只要有漏洞，影响非同小可。所幸 Kubernetes 计划的参与者是活跃的开源开发者，愿意回报问题以及提出修补方案。Kubernetes-as-A-Service 厂商 Rancher Labs 员工 Darren Shepherd 发现这笔重大漏洞。目前有 v1.10.11、v1.11.5、v1.12.3 以及 v1.13.0-rc.1 版本可供下载修补，先前的 Kubernetes 版本要尽快更新免得因漏洞而被攻击。

这个重大漏洞的 CVSS (Common Vulnerability Scoring System) 分数以十分为基准，高达 9.8。更糟的是 Kubernetes 的监控和服务器 log 还不会留下纪录，所以有用 Kubernetes 的人都要尽快升级修补漏洞。目前还没有灾情传出，但难保有用旧版 Kubernetes 的组织，会在之后受影响发生大问题。
 

转载于:https://my.oschina.net/u/3906919/blog/2980452