发布日期：2019-07-03
更新日期：2019-07-03

受影响系统：

Kubernetes Kubernetes 1.13.4
Kubernetes Kubernetes 1.13.3
Kubernetes Kubernetes 1.13
Kubernetes Kubernetes 1.12.6
Kubernetes Kubernetes 1.12.5
Kubernetes Kubernetes 1.12.4
Kubernetes Kubernetes 1.12.3
Kubernetes Kubernetes 1.12.2
Kubernetes Kubernetes 1.12.1
Kubernetes Kubernetes 1.12
Kubernetes Kubernetes 1.11.8
Kubernetes Kubernetes 1.11.7
Kubernetes Kubernetes 1.11.6
Kubernetes Kubernetes 1.11.5
Kubernetes Kubernetes 1.11.4
Kubernetes Kubernetes 1.11.3
Kubernetes Kubernetes 1.11.2
Kubernetes Kubernetes 1.11.1
Kubernetes Kubernetes 1.11
CNI CNI Plugin 0.7.4
CNI CNI Plugin 0.7.2
CNI CNI Plugin 0.7.1
CNI CNI Plugin 0.7

不受影响系统：

Kubernetes Kubernetes 1.14
Kubernetes Kubernetes 1.13.5
Kubernetes Kubernetes 1.12.7
Kubernetes Kubernetes 1.11.9
CNI CNI Plugin 0.7.5

描述：

---

BUGTRAQ  ID: 107651
CVE(CAN) ID: CVE-2019-9946

Kubernetes 是用于自动部署，扩展和管理容器化应用程序的开源系统。

云原生计算基金会（CNCF）CNI（容器网络接口）0.7.4具有影响Kubernetes的网络防火墙配置错误。用于为CNI设置HostPorts的CNI“portmap”插件在iptables nat链的前面插入规则; 它优先于KUBE- SERVICES链。因此，HostPort / portmap规则可以匹配传入流量，即使在链中稍后有更好的拟合，更具体的服务定义规则（如NodePorts）。该问题在CNI 0.7.5和Kubernetes 1.11.9,1.12.7,1.13.5和1.14.0中得到修复。

攻击者可以利用此问题执行未经授权的操作。这可能有助于进一步的攻击。

<*来源：Anevia的Etienne Champetier
  
  链接：https://discuss.kubernetes.io/t/announce-security-release-of-kubernetes-affecting-certain-network-co
*>

建议：

---

厂商补丁：

Kubernetes
----------
Kubernetes已经为此发布了一个安全公告（CVE-2019-9946）以及相应补丁:
CVE-2019-9946：Security release of Kubernetes affecting certain network configurations with CNI - Releases 1.11.9, 1.12.7, 1.13.5, and 1.14.0 - CVE-2019-9946
链接：https://discuss.kubernetes.io/t/announce-security-release-of-kubernetes-affecting-certain-network-co

补丁下载：

浏览次数：1375
严重程度：0（网友投票）