信息化觀察網(wǎng)

根據(jù) TECHERATI 網(wǎng)站報道，Atredis Partners 公司的安全研究人員 Charles Holmes 在 Kubernetes 中發(fā)現(xiàn)了一個新的漏洞，如果利用該漏洞，攻擊者可以將惡意容器放置到用戶工作站上。 該漏洞影響 Kubernetes 的 kubectl 命令行工具，而這個工具是讓用戶在容器和用戶機器之間復(fù)制文件。

容器調(diào)度器 Kubernetes 在確立為多云部署之后，就大受開發(fā)人員的喜愛，根據(jù) JetBrains 的報告，29% 的開發(fā)人員現(xiàn)在使用 Kubernetes。所以漏洞的出現(xiàn)會引起很多人關(guān)注。

Kubernetes ProductSecurity Committee （Kubernetes 產(chǎn)品安全委員會）的代表人 Joel Smith ，將該漏洞與 CVE-2019-1002101 漏洞聯(lián)系在一起，CVE-2019-1002101 是在今年3月發(fā)現(xiàn)的漏洞，也使攻擊者能夠通過 kubectl 嵌入惡意容器，而最初解決這個問題并不完整。

Joel Smith 說，攻擊者可以將惡意代碼嵌入容器的 tar 二進制文件中，這可能允讓他們在調(diào)用 kubectl 時將文件寫入用戶計算機上的任何路徑，不過，最新的漏洞可以通過將 kubectl 升級到 1.12.9、1.13.6 和 1.14.2 或更高版本來修復(fù)。