北京时间2019年10月17日,Kubernetes发布了新的补丁版本,修复了新近发现的两个安全漏洞:CVE-2019-11253和CVE-2019-16276。Rancher第一时间响应,就在当天紧随其后发布了Rancher v2.3.1和Rancher v2.2.9。更新的版本中不仅支持Kubernetes新的补丁版本,还修复了一些原有的bug并对部分功能进行了优化。
目前,Rancher的Latest和Stable版本信息如下:
Kubernetes CVE漏洞详情
CVE-2019-11253:
- CVE-2019-11253是kube-apiserver中的一个拒绝服务漏洞,它允许授权用户发送恶意的YAML或JSON有效负载,然后导致kube-apiserver消耗过多的CPU或内存,从而可能崩溃并变得不可用。
CVE-2019-16276:
- 在Go的net/ http库中CVE-2019-16276会导致无效的请求头被HTTP服务器规范化并解释为有效。如果Go HTTP服务器前的反向代理允许并转发某无效的请求头,但又不对其进行规范化,则Go服务器对这些请求头的解释可能与反向代理不同。
Kubernetes发布了下述这些新版本,解决上述安全漏洞:
- v1.13.12
- v1.14.8
- v1.15.5
- v1.16.2
为了您的集群安全,强烈建议您将Kubernetes集群都升级至最新发布的修复版本。
Rancher第一时间有效应对
Rancher第一时间对漏洞做出响应,发布了新的版本Rancher 2.3.1和Rancher 2.2.9以支持上述Kubernetes补丁版本。Rancher 2.2.9支持Kubernetes v1.13.12、v1.14.8和v1.15.5(默认),Rancher v2.3.1在此基础上还添加了对Kubernetes v1.16.2的实验性支持。
请注意:
Rancher 1.6.x用户不受Kubernetes的这两个安全漏洞影响,因为Rancher 1.6.x自身不支持这两个漏洞所影响的Kubernetes版本。
关于Rancher 2.0.x的用户:
正如Rancher服务条款页面所示,Rancher 2.0.x目前处于其产品生命周期的EOM到EOL支持阶段。因此,Rancher官方没有计划发布v2.0.x补丁版本来修复这两个漏洞。对于Rancher的企业级订阅客户,如果您有特殊情况,需要在v2.0.x版本中修复这两个漏洞,请联系Rancher的技术支持团队。或者,请在v2.0.x 的EOL日期(2019年11月1日)之前,将您的Rancher升级到最新版本。
关于Rancher 2.1.x的用户:
- Rancher v2.1.x仅支持Kubernetes v1.13.x
- 正如Rancher服务条款页面所示,Rancher v2.1.x目前处于其产品生命周期的EOM到EOL支持阶段。因此,Rancher官方没有计划发布v2.1.x补丁版本来修复这两个漏洞。对于Rancher的企业级订阅客户,如果您有特殊情况,需要在v2.1.x版本中修复这两个漏洞,请联系Rancher的技术支持团队。
Rancher 2.3.1修复的bug
- 修复了由于引用v1 API [#23365] 而无法使用LetsEncrypt证书安装单节点的问题;
- 修复了守护脚本无法完成超时原因并允许超时可配置的问题[ #22379,#23160 ];
- 修复了在模板创建和模板显示期间未正确处理Kubernetes版本的RKE模板的问题。[#23360,#23359,#23361]
- 修复了RKE模板无法为某些Kubernetes版本启用Windows支持的问题[#23395]
- 修复了尝试将群集更新到新的RKE模板修订版不起作用的问题[#23383]
- 修复了在升级后无法将捆绑的系统图表与单个节点容器或绑定安装一起使用的问题[#23427]
- Rancher和RKE使用的yaml库升级到包含CVE-2019-11253修复程序的 v2.2.4版本
如果您想了解与上述issue相关的详细信息,请至Rancher Github issue界面输入issue编号进行查询:
https://github.com/rancher/rancher/issues
下载及升级
您可以至Rancher GitHub主页阅读完整的Rancher v2.3.1和Rancher v2.2.9 Release Note、下载使用最新版本、或了解更多与升级回滚有关的注意事项。
Github链接:
https://github.com/rancher/rancher/releases
