【安全预警】Kubernetes CSI sidecars未授权数据访问漏洞安全预警(CVE-2019-11255)
摘要:
尊敬的腾讯云客户, 您好:
近日,腾讯云安全中心监测到Kubernetes近日发布安全公告,披露了kubernetes-csi 外部配置程序、外部快照程序、外部调整大小工具的未授权数据访问漏洞(CVE-2019-11255),该漏洞会影响容器存储接口(CSI)驱动程序中捆绑的大多数附带工具版本。
为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
【漏洞详情】
由于校验机制缺陷,导致攻击者可利用漏洞实现未授权的数据访问、更改或进行特性的复制、大小调整等操作。
【风险等级】
官方评级:中风险
【漏洞风险】
未授权的数据访问或更改
【影响版本】
1、Kubernetes v1.16.0+版本默认配置
2、Kubernetes v1.12.0+的非默认配置(alpha VolumeSnapshotDataSource、ExpandCSIVolumes、 VolumePVCDataSource 的特性开启的情况下)
Kubernetes-CSI 版本对应的 CSI 驱动程序版本受影响情况如下:
external-provisioner:
- v0.4.1-0.4.2,
- v1.0.0-1.0.1
- v1.1.0-1.2.1
- v1.3.0
external-snapshotter:
- v0.4.0-0.4.1
- v1.0.0-1.0.1
- v1.1.0-v1.2.1
external-resizer:
- v0.1.0-0.2.0
【修复版本】
external-provisioner:
- v0.4.3
- v1.0.2
- v1.2.2
- v1.3.1
- v1.4.0
external-snapshotter:
- v0.4.2
- v1.0.2
- v1.2.2
external-resizer
- v0.3.0
【修复建议】
官方已发布新版本修复该漏洞,您可以采取如下解决方案进行修复:
一、推荐方案:
CBS: deploy/cbs/kubernetes/csi-cbsplugin-provisioner.yaml
quay.io/k8scsi/csi-provisioner:v1.3.0 升级到 ccr.ccs.tencentyun.com/ccs-dev/csi-provisioner:1.3.1
quay.io/k8scsi/csi-provisioner:v1.0.1 升级到 ccr.ccs.tencentyun.com/ccs-dev/csi-provisioner:1.0.2
quay.io/k8scsi/csi-snapshotter:v1.0.1 升级到 ccr.ccs.tencentyun.com/ccs-dev/csi-snapshotter:1.0.2
CFS: deploy/cfs/kubernetes/csi-provisioner-cfsplugin.yaml
ccr.ccs.tencentyun.com/ccs-dev/csi-provisioner:1.0.1 升级到 ccr.ccs.tencentyun.com/ccs-dev/csi-provisioner:1.0.2
二、缓解方案:
1、在 kube-apiserver 和 kube-controller-manager 中禁用 VolumeSnapshotDataSource, ExpandCSIVolumes, VolumePVCDataSource 属性;
2、或从CSI驱动中移除 external-snapshotter sidecar;
【参考链接】