安全漏洞CVE-2019-3874分析

Kubernetes近期重要bug fix分析

Kubernetes v1.13.5 bug fix数据分析

——本周更新内容

安全漏洞CVE-2019-3874分析

3月21日，Kubernetes社区通过Google Group频道Kubernetes developer/contributor discussion发布了安全漏洞CVE-2019-3874以及解决方法。

这个安全漏洞最早由红帽的工程师Matteo Croce，Natale Vinto和Andrea Spagnolo发现。当Kubernetes中的Pod以Root用户运行时，它可以绕过cgroup内存隔离，通过SCTP网络传输，创建一个潜在的DoS攻击，此问题本身与Kubernetes无关，但是涉及到Kubernetes调用的内核模块。问题的严重性被定义为中等，社区建议将SCTP内核模块列入黑名单来规避此问题。用户可以通过执行如下命令来测试是否会到此类攻击。

modprobe sctp; lsmod | grep sctp

用户可以通过执行如下命令来把SCTP列入内核模块的黑名单。

echo "install sctp /bin/true" > /etc/modprobe.d/sctp.conf

如果SCTP模块已经载入内核，则需要重启机器来从内核中卸载SCTP模块。CVE-2019-3874安全漏洞的内核补丁正在开发中，但是通过将SCTP内核模块列入黑名单可以保护用户永久免受此类攻击。

CVE-2019-3874链接：

https://access.redhat.com/security/cve/cve-2019-3874

Kubernetes近期重要bug fix分析

•#74672移除

导致内存泄漏的Reflector Metrics

https://github.com/kubernetes/kubernetes/pull/74672

该问题的背景是#73587这个Issue。用户在升级到v1.12.5之后，发现集群内节点上Kubelet在运行一段时间后吃掉了所有的内存，导致节点故障。使用go tool pprof发现Client Go Metrics耗费了大部分的计算时间。这些Reflector Metrics并不是必不可少，该PR移除了如下的Metrics来解决内存泄漏的问题：

• reflector_items_per_list

• reflector_items_per_watch

• reflector_last_resource_version

• reflector_list_duration_seconds

• reflector_lists_total

• reflector_short_watches_total

• reflector_watch_duration_seconds

• reflector_watches_total

•#74865获取不到

包含有InitContainers的Pod的Metrics

https://github.com/kubernetes/kubernetes/pull/74865

该问题的初始现象是Metrics Server获取不到包含有InitContainers的Pod的Metrics。

根本原因在于退出的容器（如InitContainers）CPU和Memory都为Nil导致Metrics服务器将跳过Pod的处理。具体是removeTerminatedContainer的实现忽略了cri提供的runtimeapi.Container和cadvisor提供的cadvisorapiv2.ContainerInfo的不同。

此问题的解决方法是在原有上报Nil的情况下，修改为上报退出容器的CPU和Memory为0。

•#75366延迟CSI Client初始化

以解决CSI Volume Plugin在Kubelet重启后

不可用的问题

https://github.com/kubernetes/kubernetes/pull/75366

该问题的背景是#72500这个Issue。在Kubelet重启后，CSI Volume Plugin可能不会被重新注册。这些Volume Plugin未注册会相应地导致这些Plugin关联的Volume的操作无法进行。解决办法是在Kubelet重启后，单独提取一个csiClientGetter的Get()方法用于当初始化失败时，能通过延迟CSI Client初始化的方式来重新注册CSI Volume Plugin。

•#75364区分Volume Path和Mount Path

https://github.com/kubernetes/kubernetes/pull/75364

通常情况下大部分的Volume Plugin会去检查Mount在Pod的Volume第一层级的目录，但是对于CSI Plugin却不是这样，CSI Plugin可能会Mount在子目录上。这个PR修改了Kubelet中VolumePath和MountPath引用的逻辑，实现对CSI的优化。

Kubernetes v1.13.5 bug fix数据分析

分类数量和占比统计如下：

严重程度数量统计如下（横坐标5为最高，0为最低）：

如下为Kubernetes v1.13.5所有bug fix的汇总信息：

相关服务请访问：https://support.huaweicloud.com/cce/index.html?utm_content=cce_helpcenter_2019

【独家】K8S漏洞报告 | 近期bug fix解读的更多相关文章

1. 【独家】K8S漏洞报告|近期bug fix解读&1.11主要bug fix汇总

   内容提要: 1. 高危漏洞CVE-2018-1002105深度解读 2. 11/19--12/11 bug fix汇总分析 3. 1.11重要bug fix解读 4. 1.9重要bug fix解读 在 ...

2. 【独家】K8S漏洞报告 | 近期bug fix解读&1.9.11主要bug fix汇总

   *内容提要: 1. Kube-proxy长连接优雅断开机制及IPVS模式实现 2. 10/29--11/19 bug fix汇总分析 3. 1.9.11重要bug fix汇总 在本周的跟踪分析中,以1 ...

3. K8S漏洞报告 | 近期bug fix解读&1.13主要bug fix汇总

   K8s近期漏洞详解 Kubernetes仪表盘漏洞(CVE-2018-18264) 因为这一漏洞,用户可以“跳过”登录过程获得仪表盘所使用的自定义TLS证书.如果您已将Kubernetes仪表盘配置为 ...

4. 【独家】K8S漏洞报告 | CVE-2019-1002101解读

   kubectl cp漏洞CVE-2019-1002101分析 Kube-proxy IPVS添加flag ipvs-strict-arp 近期bug fix数据分析 ——本期更新内容 kubectl ...

5. 【代码审计】ESPCMSP8(易思企业建站管理系统)漏洞报告

   0x00简介 项目名称:ESPCMS-P8(易思企业建站管理系统) 测试平台:Windwos 版本信息:P8.19082801稳定版 更新时间:2019-08-30 00:56:32 网站官网:htt ...

6. 最常见的安全漏洞– Acunetix Web应用程序漏洞报告2021

   每年,Acunetix都会为您提供最常见的Web安全漏洞和网络外围漏洞的分析.我们的年度Web应用程序漏洞报告(现已成为Invicti AppSec指标的一部分)是基于从Acunetix在线获得的真实 ...

7. MyCat不支持毫秒 bug fix

   问题描述:mysql jdbc的驱动(mysql-connector-java-5.1.34.jar)设置的服务器的版本号最低是5.6.4才不会截取时间毫秒,但是现在取的是mycat 的版本号 5.5 ...

8. Journal of Proteome Research | Current understanding of human metaproteome association and modulation（人类宏蛋白质组研究近期综述）(解读人：李巧珍）

   文献名:Current understanding of human metaproteome association and modulation(人类宏蛋白质组研究近期综述) 期刊名:J Prot ...

9. oslo.messaging 1.8.0 bug fix and blueprint

   1366597 由于amqp_auto_delete可配置,但是NotifierPublisher使用的是没有在配置中获取而使用的默认的False,即非auo_delete,因而在用户配置了amqp_ ...

随机推荐

1. nodejs学习笔记四——express-session

   博友沉沉-_-的这篇express 框架之session分析的已经非常详细了,本人这里就不描述了. 总结其中的几个关键点. 1.http协议规定http链接是无状态的链接,cookie和session ...

2. 推荐算法——距离算法

   本文内容 用户评分表 曼哈顿(Manhattan)距离 欧式(Euclidean)距离 余弦相似度(cos simliarity) 推荐算法以及数据挖掘算法,计算"距离"是必须的~ ...

3. Ajax详解及其案例分析------如何获得Ajax对象，使用Ajax对象发送GET和POST请求，校验用户名，POST和GET请求时的乱码处理，实现级联的下拉列表

   本节主要内容预览: 1 获得Ajax对象 2 使用Ajax对象发送GET请求 3 使用Ajax对象发送POST请求 4 使用Ajax校验用户名 5 POST请求时的乱码处理 6 GET请求时的乱码处理 ...

4. NeHe OpenGL教程 第三十三课：TGA文件

   转自[翻译]NeHe OpenGL 教程 前言 声明,此 NeHe OpenGL教程系列文章由51博客yarin翻译(2010-08-19),本博客为转载并稍加整理与修改.对NeHe的OpenGL管线 ...

5. O_NONBLOCK模式下写fifo的注意事项

   后台网络通信框架一般采用fifo来作为事件通知的机制:创建一个fifo,然后以非阻塞读和非阻塞写的方式打开fifo,然后把fd加到epoll里面,作为通知网络事件的fd. 在这里有个隐晦的问题容易被忽 ...

6. shell获取 linux 系统的位数

   getconf LONG_BIT 直接返回  32  或者 64

7. Win10无法使用小娜搜索本地应用问题的解决方案

   小娜介绍 win10的Cortana小娜是一个功能非常强大的语音和搜索助手,用户可以通过小娜助手搜索任意的文件和应用软件,不过有用户发现win10的小娜搜索不到已安装的本地软件,那么win10小娜助手 ...

8. Eviews 8.0＆9.0界面新功能介绍

   Eviews 8.0&9.0界面新功能介绍 本文其中一些是自己的整理,也有一些是经管之家论坛中一位热心.好学坛友的整理,其中只是简单介绍一下这两个新版本的部分特性,分享出来,有兴趣的看客可以一 ...

9. VK Cup 2017 - Round 1

   和FallDream组队瞎打一通--B两个人写的都挂了233,最后只剩下FallDream写的A和我写的C,最后我yy了个E靠谱做法结果打挂了,结束之后改了改就A了,难受. AC:AC Rank:18 ...

10. java.lang.NoClassDefFoundError: org/apache/juli/logging/LogFactory的解决

    java.lang.NoClassDefFoundError: org/apache/juli/logging/LogFactory的解决          博客分类: 问题 ApacheJavaTo ...