提供了DevOps从业人员广泛使用的容器编排系统的Kubernetes宣布发现CVE-2019-11246,这是一个严重的漏洞,在正在进行的第三方安全审核过程中会影响命令行界面Kubectl >。 利用此漏洞可能导致目录遍历-允许攻击者使用恶意容器在用户的工作站中创建或替换文件。
偶然地,由于CVE-2019-1002101的不完整更新而出现了新漏洞,CVE-2019-1002101的相关漏洞已于3月披露。 [阅读:以前修补过,但仍然很关键:Kubernetes的路径遍历漏洞]
CVE-2019-11246的详细信息与先前修补的CVE-2019-1002101相似。 但是,由于更新的不完全性,仍然存在一些缺陷,从而导致了新的利用方法的发现。
CVE-2019-11246特别涉及 kubectl cp ,该命令负责在容器和用户计算机之间复制文件。 作为其复制例程的一部分,Kubernetes通过在容器内运行 tar 二进制文件来创建档案。 然后,它将通过网络复制二进制文件,然后将其通过kubectl在用户的计算机上解压缩。
每当调用 kubectl cp 时,攻击者就可以通过使用恶意的 tar 二进制文件将文件写入目标计算机上的任何路径来利用此漏洞。 这可能导致添加恶意文件或覆盖现有文件,从而危害环境。
CVE-2019-11246是一个客户端漏洞,因此需要利用用户交互。 [阅读:容器安全性:检查对容器环境的潜在威胁]
用户可以通过运行 kubectl版本--client 来检查其客户端版本是否容易受到该漏洞的攻击。 早于1.12.9、1.13.6和1.14.2的客户端版本容易受到攻击。 用户应尽快更新其客户端。
抵御利用CVE-2019-11246的可能攻击的最佳实践
为保护企业资源免受旨在利用CVE-2019-11246等漏洞的攻击者的侵害,组织应实施以下最佳实践: 请尽快应用更新,以减少利用攻击的可能性。 这不仅适用于容器机器,而且通常适用于所有软件程序。 避免使用root特权运行容器,而只能将它们用作应用程序用户。 鉴于CVE-2019-11246是客户端漏洞,因此在这种情况下尤其适用。 通过限制对整个群集的访问,可以最大程度地减少可能导致漏洞利用的用户错误。 趋势科技解决方案
安全解决方案可以帮助防止Kubernetes中漏洞的潜在影响。 一个示例是趋势科技™混合云安全性,它提供威胁防御以保护运行时物理,虚拟和云工作负载以及容器。 它还在开发阶段扫描容器图像。 它在组织的DevOps管道中提供了强大,简化和自动化的安全性,并提供了多种XGen™威胁防御技术来保护运行时的物理,虚拟和云工作负载。
它还通过趋势科技服务器深度安全防护系统(Deep Security™)解决方案和趋势科技服务器深度安全防护系统智能检查(Deep Security Smart Check)增强了对容器的保护,该功能在开发的不同阶段扫描容器映像中的恶意软件和漏洞以检测威胁。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢