近日Kubernetes社区发现安全漏洞 CVE-2018-1002105。通过伪造请求，Kubernetes用户可以在已建立的API Server连接上提权访问后端服务，阿里云容器服务已第一时间修复，请登录阿里云控制台升级您的Kubernetes版本。

漏洞详细介绍：https://github.com/kubernetes/kubernetes/issues/71411

影响版本：

• Kubernetes v1.0.x-1.9.x
• Kubernetes v1.10.0-1.10.10 (fixed in v1.10.11)
• Kubernetes v1.11.0-1.11.4 (fixed in v1.11.5)
• Kubernetes v1.12.0-1.12.2 (fixed in v1.12.3)

影响的配置:

1. 集群启用了扩展API server，并且kube-apiserver与扩展API server的网络直接连通；
2. 集群开放了 pod exec/attach/portforward 接口，攻击者可以利用该漏洞获得所有的kubelet API访问权限。

阿里云容器集群配置

1. 阿里云容器集群API Server默认开启了RBAC，通过主账号授权管理默认禁止了匿名用户访问。同时Kubelet 启动参数为”anonymous-auth=false”，提供了安全访问控制，防止外部入侵。
2. 对于使用子账号的多租户ACK集群用户，子账号访问Kubernetes，其账号可能通过Pod exec/attach/portforward越权。如果集群只有管理员用户，则无需过度担心。
3. 子账号在不经过主账号自定义授权的情况下默认不具有聚合API资源的访问权限。

解决方法：

对于容器服务ACK的用户，请进入容器服务-Kubernetes控制台，在集群-集群列表-集群升级中，点击更新一键升级到安全版本的Kubernetes。

• 1.11.2升级到1.11.5，
• 1.10.4升级到1.10.11，
• 1.9及以下的版本请先升级到1.10.11以上。（在1.9版本升级1.10版本时，如集群使用了云盘数据卷，需在控制台首先升级flexvolume插件）

注: 对于本次漏洞，因为Serverless Kubernetes在此之前已额外加固，用户不受影响。