您正在查看 GKE On-Prem 以前版本的文档。查看最新文档

安全公告

本主题介绍了 GKE On-Prem 的所有安全公告。

漏洞通常有一段时间的保密期,以便给让影响的各方有机会解决这些问题。在这种情况下,GKE On-Prem 的版本说明会在保密期结束前使用“安全更新”来泛指这些漏洞。保密期结束后,我们会更新版本说明,以阐明补丁程序所解决的漏洞。

如需接收最新安全公告,请将本页面的网址添加到您的 Feed 阅读器

2019 年 8 月 23 日

说明 严重级别 备注

我们最近发现并缓解了一个漏洞,在该漏洞中,用于保护监控端点的 RBAC 代理未正确授权用户。因此,内部集群网络中未授权用户可以访问某些组件的指标。以下组件受到了影响:

  • etcd
  • etcd-events
  • kube-apiserver
  • kube-controller-manager
  • kube-scheduler
  • node-exporter
  • kube-state-metrics
  • prometheus
  • alertmanager
该怎么做?

我们建议您尽快将集群升级到版本 1.0.2-gke.3,其中包含此漏洞的补丁程序。

GKE On-Prem 版本

2019 年 8 月 22 日

说明 严重级别 备注

Kubernetes 最近发现了一个漏洞 (CVE-2019-11247),该漏洞允许集群级的自定义资源实例像存在于所有命名空间内的有命名空间对象一样得到处理。这意味着仅有命名空间级 RBAC 权限的用户和服务帐号可以与集群级自定义资源交互。利用此漏洞要求攻击者具有访问任意命名空间内资源的权限。

该怎么做?

我们建议您尽快将集群升级到版本 1.0.2-gke.3,其中包含此漏洞的补丁程序。

该补丁程序解决了哪一漏洞?

该补丁程序缓解了以下漏洞:CVE-2019-11247

CVE-2019-11247