Kubernetes社區在Kubernetes平臺的一個組件中發現了一個“高危”安全漏洞，可能會刪掉用戶工作站上的文件。就在曝出這個最新的安全問題之前，最新版Kubernetes剛剛發佈，該平臺去年年底傳出了第一個重大的安全漏洞。

　　Kubectl是一個命令行接口（CLI），用於針對Kubernetes集羣運行命令。它基本上允許在容器和用戶的機器之間拷貝文件。

　　Twistlock的安全研究人員Ariel Zelivansky本月早些時候發現了這個最新的安全問題。他解釋道，新漏洞與去年發佈的一個補丁有關。

　　廣大開發人員被要求將kubectl版本更新到Kubernetes 1.11.9、1.12.7、1.13.5和1.14.0以解決該問題。大多數主要的Kubernetes發行版也向託管平臺發送了更新版。

　　Aqua Security公司的產品營銷副總裁Rani Osnat特別指出，最新的這個漏洞不如“披露的另一些CVE來得嚴重，因爲要鑽它的空子相當困難，需要在集羣內部使用非授權容器。”他補充道，Kubernetes用戶應“記得只使用可信任的映像，使用[Center for Internet Security Kubernetes]基準測試等最佳實踐，並監控集羣，查找是否存在任何可疑行爲。”

　　kubectl安全更新包含在一年前發佈的Kubernetes 1.10版本中，它通過外部kubectl憑據提供者（external kubectl credential providers）提供了擴展點。這讓雲提供商、供應商和開發人員得以發佈爲特定的雲提供商身份和訪問管理（IAM）服務處理身份驗證的二進制插件。

　　過去的版本

　　Aaron Crickenberger是最新Kubernetes更新的發佈負責人，他在發給IT外媒SDxCentral的電子郵件中特別指出，Kubernetes社區並不認爲安全與特定的更新有關，而是“需要不斷加以評估和改進。”

　　Crickenberger解釋：“這個版本包含了衆多修正版和安全修復程序――與任何Kubernetes版本一樣，但很少與這個RBAC變更一樣被用戶容易看見。”他確實補充道，正在通過去年成立的安全審計工作組開展更深入的工作。

　　去年12月發佈的Kubernetes 1.13因發現一個“危急”漏洞而導致形象受損，該漏洞使黑客對於在Kubernetes集羣中運行的任何計算節點擁有全面的管理權限。該漏洞由Rancher Labs的軟件工程師發現，在通用漏洞評分系統（CVSS）中獲得了9.8分（危急，最高分是10分）的評分。

　　Osnat表示，Kubernetes是個“複雜的系統，必然會有漏洞。CVE披露變得越來越常見，這是件好事，事實上它們不是很嚴重。”