`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Что для вас является метрикой простоя серверной инфраструктуры?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

В Kubernetes найдена первая серьёзная уязвимость

+11
голос

В Kubernetes найдена первая серьёзная уязвимость

Поскольку Kubernetes это самая популярная система оркестровки облачных контейнеров, дыры в её защите ищут с особенным прилежанием и хакеры и эксперты по безопасности. И неудивительно, что эти поиски наконец принесли результат. Баг эскалации привилегий Kubernetes, CVE-2018-1002105, получил критический уровень опасности — CVSS 9.8.

С помощью особым образом составленного сетевого запроса любой пользователь может через API-сервер Kubernetes установить соединение с внутренним (backend) сервером и спокойно отправлять на последний любые запросы с честными TLS-реквизитами API-сервера.

Конфигурация по умолчанию позволяет каждому, кто знает об этой «дырке» — аутентифицированному или неаутентифицированному — перехватывать управление кластером Kubernetes.

Неавторизованные запросы через установленное соединение неотличимы от авторизованных в серверных журналах, поэтому не существует простого способа проверки: использует ли кто-то эту уязвимость. А ведь через неё возможно не только внедрять вредоносный код или красть конфиденциальные данные, но и саботировать работу приложений и служб предприятий, защищённых брандмауэром.

Полноценных временных решений проблемы не найдено. Если вы используете Kubernetes v1.0.x-1.9.x, следует остановить приложение и обновить его до Kubernetes v1.10.11, v1.11.5, v1.12.3 или v1.13.0-rc.1.

Уязвимо и другое ПО, использующее Kubernetes. Так, Red Hat уже начала предоставлять патчи и обновления сервисов пользователям затронутых этим багом продуктов, включая Red Hat OpenShift Container Platform, Red Hat OpenShift Online и Red Hat OpenShift Dedicated.


Вы можете подписаться на наш Telegram-канал для получения наиболее интересной информации

+11
голос

Напечатать Отправить другу

Читайте также

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT