В Kubernetes найдена первая серьёзная уязвимость

Поскольку Kubernetes это самая популярная система оркестровки облачных контейнеров, дыры в её защите ищут с особенным прилежанием и хакеры и эксперты по безопасности. И неудивительно, что эти поиски наконец принесли результат. Баг эскалации привилегий Kubernetes, CVE-2018-1002105, получил критический уровень опасности — CVSS 9.8.

С помощью особым образом составленного сетевого запроса любой пользователь может через API-сервер Kubernetes установить соединение с внутренним (backend) сервером и спокойно отправлять на последний любые запросы с честными TLS-реквизитами API-сервера.

Конфигурация по умолчанию позволяет каждому, кто знает об этой «дырке» — аутентифицированному или неаутентифицированному — перехватывать управление кластером Kubernetes.

Неавторизованные запросы через установленное соединение неотличимы от авторизованных в серверных журналах, поэтому не существует простого способа проверки: использует ли кто-то эту уязвимость. А ведь через неё возможно не только внедрять вредоносный код или красть конфиденциальные данные, но и саботировать работу приложений и служб предприятий, защищённых брандмауэром.

Полноценных временных решений проблемы не найдено. Если вы используете Kubernetes v1.0.x-1.9.x, следует остановить приложение и обновить его до Kubernetes v1.10.11, v1.11.5, v1.12.3 или v1.13.0-rc.1.

Уязвимо и другое ПО, использующее Kubernetes. Так, Red Hat уже начала предоставлять патчи и обновления сервисов пользователям затронутых этим багом продуктов, включая Red Hat OpenShift Container Platform, Red Hat OpenShift Online и Red Hat OpenShift Dedicated.