阿里云容器服务 Kubernetes 已修复 Dashboard 漏洞 CVE-2018-18264, 本文介绍该漏洞的影响版本及解决方法. 阿里云容器服务 Kubernetes 内建的 Kubernetes Dashboard 是托管形态且已进行过安全增强, 不受此漏洞影响.
背景信息
Kubernetes 社区发现 Kubernetes Dashboard 安全漏洞 CVE-2018-18264: 使用 Kubernetes Dashboard v1.10 及以前的版本有跳过用户身份认证, 及使用 Dashboard 登录账号读取集群秘钥信息的风险 .
阿里云容器服务 Kubernetes 内建的 Kubernetes Dashboard 是托管形态且已进行过安全增强, 不受此漏洞影响.
安全漏洞 CVE-2018-18264 的详细信息, 请参考:
- https://github.com/kubernetes/dashboard/pull/3289
- https://github.com/kubernetes/dashboard/pull/3400
影响版本
如果您的 Kubernetes 集群中独立部署了 Kubernetes Dashboard v1.10 及之前版本 (v1.7.0-v1.10.0), 同时支持登录功能且使用了自定义证书.
解决方法
如果您不需要独立部署的 Dashboard, 请执行以下命令, 将 Kubernetes Dashboard 从集群中删除.
kubectl --namespace kube-system delete deployment kubernetes-dashboard
如果您需要独立部署的 Dashboard, 请将 Dashboard 升级到 v1.10.1 版本, 请参考
如果您使用阿里云容器服务 Kubernetes 版本托管的 Dashboard, 由于阿里云容器服务 Kubernetes 版本对此进行过安全增强, 不受此漏洞影响, 您仍可以直接在容器服务管理控制台上使用 Dashboard
来源: https://yq.aliyun.com/articles/685092