Wghdr's Blog!

k8s

k8s集群CVE-2016-2183漏洞修复

wghdr

漏洞信息

file

file

file

漏洞检测

可以使用openssl或者nmap来检测,nmap的版本要大于7.0。我这里使用nmap。

etcd

2379,2380

nmap --script ssl-enum-ciphers -p 2379,2380 ip

file

apiserver

6443

nmap --script ssl-enum-ciphers -p 6443 ip

file

kubelet

10250

nmap --script ssl-enum-ciphers -p 10250 ip

file

修复步骤

etcd

在启动命令中添加如下配置:

- --cipher-suites=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

file

等待pod重启。

file

再次检查,漏洞修复。

file

apiserver

在启动命令中添加如下配置:

- --tls-cipher-suites=TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_128_GCM_SHA256

file

等待pod重启。

file

再次检查,漏洞修复。

file

kubelet

在kubelet的启动配置文件10-kubeadm.conf的ExecStart=最后面添加如下配置:

--tls-cipher-suites=TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_128_GCM_SHA256

file

重启kubelet。

systemctl daemon-reload
systemctl restart kubelet
systemctl status kubelet

file

再次检查,漏洞修复。

file

PS

非k8s集群的漏洞修复方式参考:
https://blog.csdn.net/ximenjianxue/article/details/111983377

分类: k8s
0 0 投票数
文章评分
订阅评论
提醒
guest

0 评论
最旧
最新 最多投票
内联反馈
查看所有评论

相关文章

开始在上面输入您的搜索词,然后按回车进行搜索。按ESC取消。

返回顶部
0
希望看到您的想法,请您发表评论x