近日，Kubernetes被爆出嚴重安全漏洞，該漏洞CVE-2018-1002105（又名Kubernetes特權升級漏洞，https://github.com/kubernetes/kubernetes/issues/71411）被確認為嚴重性9.8分（滿分10分）。具體來說，惡意用戶可以使用Kubernetes API服務器連接到後端服務器以發送任意請求，並通過API服務器的TLS憑證進行身份驗證。這一安全漏洞的嚴重性更在於它可以遠程執行，攻擊並不復雜，不需要用戶交互或特殊權限。

圖片來自於WikiMedia

更糟糕的是，在Kubernetes的默認配置中，允許所有用戶（經過身份驗證和未經身份驗證的用戶）執行允許此升級的發現API調用。也就是說，任何了解這個漏洞的人都可以掌控你的Kubernetes集群。

最後的痛苦之處在於，對於用戶而言，沒有簡單的方法來檢測此漏洞是否已被使用。由於未經授權的請求是通過已建立的連接進行的，因此它們不會出現在Kubernetes API 服務器審核日誌或服務器日誌中。請求確實會出現在kubelet或聚合的API服務器日誌中，但是卻無法與正確通過Kubernetes API服務器授權和代理的請求區分開來。

現在，Kubernetes 已經發布了修補版本v1.10.11、v1.11.5、v1.12.3 和v1.13.0-rc.1。如果仍在使用Kubernetes v1.0.x 至Kubernetes v1.9.x 版本，請即刻停止使用併升級到修補版本。

如果由於某種原因無法進行升級，也必須暫停使用聚合的API 服務器，並從不應具有對kubelet API 的完全訪問權限的用戶中刪除pod exec/attach/portforward 權限（不過也有用戶認為這種解決方法的糟糕程度和這個漏洞問題本身不相上下了）。