8月6日,Kubernetes发布了三个新的补丁版本,以修复近期发现的两个安全漏洞CVE - 2019 - 11247和CVE - 2019 - 11249. -牧场主迅速反应,亦在8月7日发布最新版本牧场主v2.2.7,支持Kubernetes新发布的补丁版本,并包含对牧场主新近CVE的修复,以及功能与优化。
Kubernetes CVE及修复版本
Kubernetes新发布的三个版本为:
- <李>
v1.13.9
李> <李>v1.14.5
李> <李>v1.15.2
李>在新版本中修复了以下漏洞:
此漏洞会导致API服务器允许通过错误的范围访问自定义资源。受此漏洞影响的Kubernetes版本包括:
- <李>
Kubernetes 1.7.x-1.12。李x
> <李>Kubernetes 1.13.0-1.13.8
李> <李>Kubernetes 1.14.0-1.14.4
李> <李>Kubernetes 1.15.0-1.15.1
李>
cve - 2019 - 1002101和cve - 2019 - 11246的修复并不完全,此漏洞会导致恶意容器在客户端使用kubectl cp操作时将有权限在客户端计算机上创建或替换文件。受此漏洞影响的Kubernetes版本包括:
- <李>
Kubernetes 1.0.x-1.12。李x
> <李>Kubernetes 1.13.0-1.13.8
李> <李>Kubernetes 1.14.0-1.14.4
李> <李>Kubernetes 1.15.0-1.15.1
李>
为了您的集群安全,建议您将Kubernetes集群都升级新发布的修复版本,有关CVE的更多详情,请参阅:
https://groups.google.com/forum/!主题/kubernetes-security-announce vUtEcSEY6SM
牧场主2.2.7发布
今日,牧场主实验室发布了牧场主全新版本v2.2.7,该版本支持Kubernetes于8月6日发布的补丁版本(v1.13.9, v1.14.5 v1.15.2)。同时,牧场主v2.2.7还修复了近期发现的安全漏洞CVE - 2019 - 14435和CVE - 2019 - 14436。
目前,牧场主和最新的稳定版本信息如下:
同时,牧场主实验室官方还发布了v2.1.12,可供尚未升级至2.2牧场主。x的用户使用。这一版本牧场主暂时仅支持Kubernetes v1.13.9。
此外,牧场主v2.2.7和v2.1.12还修复了最近在农场主发现的两个CVE:
- <李>
:由于该漏洞,经过身份验证的用户可能可以从农场主使用的系统服务容器可获得的IP中提取其他私有数据,包括但不限于诸如云提供商元数据服务之类的服务,尽管农场主用户可以配置白名单域以进行系统服务访问,但是恶意用户仍然通过精心设计的HTTP请求来利用这个缺陷。此漏洞由Workiva公司的马特Belile和亚历克斯·史蒂文森发现并报告。
李> <李>:通过此漏洞,本来只具有”项目所有者”角色权限的成员(甚至是在编辑角色绑定方面权限更低的成员),将能够授予自己更高的,集群级别的角色,从而获取管理该集群的权限。此漏洞由诺基亚公司的米甲利平斯基发现并报告。
李>
请注意:
1.6牧场主。x用户不受Kubernetes的这两个安全漏洞影响,因为牧场主1.6。x自身不支持这两个漏洞所影响的Kubernetes版本。
关于2.0牧场主。x的用户:
- <李>
1.6牧场主。2.0 x类似,牧场主。x也不支持上述Kubernetes版本,因此不受Kubernetes这两个安全漏洞影响。
李> <李>而关于农场主的两个漏洞问题,正如牧场主服务条款页面所示,牧场主内核目前处于其产品生命周期的加工到EOL支持阶段,因此,牧场主官方没有计划发布v2.0.x补丁版本来修复cve - 2019 - 14435和cve - 2019 - 14436。对于,如果您有特殊情况,需要在v2.0.x版本中修复这两个漏洞,请联系牧场主的技术支持团队。或者,请在v2.0。x的EOL日期(2019年11月1日)之前,将您的牧场主升级到最新版本。
李>
功能与优化
- <李>
添加了对码头工人19.03的支持
李> <李>添加了设置s3备份路径的功能
李>
下载与升级
您可以至牧场主GitHub主页,阅读完整的牧场主2.2.7发布报告,下载使用最新版本,或了解更多与升级回滚有关的注意事项。
GitHub链接:https://github.com/rancher/rancher/releases