פלטפורמת מיכל Kubernetes מהדורה חדשה 1.13 מסיר פגיעות קריטית (CVE-2018-1002105), המאפשר לכל משתמש להשיג שליטה מלאה על קבוצת מכולות מבודדות. הבעיה תוקנה גם בעדכונים 1.10.11, 1.11.5 ו- 1.12.3.
בפגיעות שנמצאה בקוברנטס, בכדי לבצע את ההתקפה, מספיק לשלוח בקשה שתוכננה במיוחד דרך ה- API כדי לקבוע את הגיבויים הזמינים (בקשת גילוי).
על הפגיעות של Kubernetes
עקב שגיאה, סוג זה של בקשות משאיר את חיבור הרשת פתוח ומאפשר את השימוש בשרת ה- API (kube-apiserver) כמתווך לשליחת בקשות לכל שרת באמצעות החיבור שנוצר עם שרת ה- API.
כתוצאה מכך, בקשות המועברות באמצעות חיבורים כאלה יעובדו על ידי ה- backend כבקשות שרת API פנימיות, נשלח באמצעות פרמטרי אימות שרת API.
כברירת מחדל, לכל משתמשי Kubernetes מאומתים ולא מאומתים יש את היכולת לשלוח בקשות דרך ה- API לגילוי, אשר מספיקות להפעלת התקפה.
לכן, כל משתמש Kubernetes חסר זכות עם גישה ל- API יכול לקבל שליטה מלאה על התשתית כולה, למשל על ידי שליחת בקשה להפעלת הקוד שלהם על המארח.
בנוסף להשגת שליטה בתשתית Kubernetes, הפגיעות יכולה לחול גם על התקפות המכוונות ללקוחות באמצעות מניפולציה של שירותי לקוחות מבוססי ענן.
הבעיה מתבטאת בכל הגרסאות של Kubernetes, החל מגרסה 1.0.
לכן, כל מנהלי Kubernetes מוזמנים לעדכן בדחיפות את המערכות שלהם לבעיות אקטואליות, כמו גם לבדוק את יומני המערכת לגבי פעילות זדונית אפשרית.
כפתרון להגנה מפני התקפות של משתמשים לא מורשים, הם יכולים להשבית גישה אנונימית ל- API באמצעות האפשרות "– אנונימי- auth = false" ובטל את הזכויות לביצוע פעולות ביצוע / הצמדות / פורפורד.
יצוין בנפרד כי ביומני Kubernetes ההתקפה באמצעות בקשות לא מורשות כלל לא נרשמת, ולכן ניתן היה לקבוע אם הפשרה אפשרית רק על ידי סימנים עקיפים.
על המהדורה החדשה של Kubernetes 1.13 ומה חדש
במהדורה החדשה הזו של Kubernetes 1.13 ממשק CSI (Container Storage Interface) התייצב, ומאפשר ליצור תוספים לתמיכה במערכות אחסון שונות.
CSI מספק ממשק יחיד להקצאת שטח, חיבור והרכבת מאגרים, המאפשר לספק תוספים לשילוב עם שירותי אחסון שונים ללא צורך בשינויים בבסיס הקוד של Kubernetes.
כברירת מחדל, נעשה שימוש בשרת ה- CoreDNS.
CoreDNS כתוב בשפת Go ומצטיין בארכיטקטורה גמישה מבוססת תוספים.
לדוגמא, פונקציות ספציפיות כגון גילוי שירות Kubernetes, צבירה מדדית עבור מערכת הניטור של פרומתאוס ושילוב עם מערכת אחסון התצורה וכו '. הם מיושמים באמצעות תוספים.
Kubeadm התייצב כממשק פשוט לניהול אשכול Kubernetes, המאפשר לבצע פעולות כמו ליצור ולפרוס אשכול במחשב הקיים, להגדיר את הרכיבים הבסיסיים של Kubernete, לחבר ולהסיר צמתים, לבצע פעולות שדרוג;
מוצג ממשק ניסיוני ליצירת תוספים לשילוב עם מערכות ניטור של צד שלישי.
הרישום לפלאגין של מכשיר Kubelet בייצוב השירות, המספק את האמצעים לגישה ל- Kubelet מתוספים.
מתזמן הפצת המכולות TAVS (Topology Aware Volume Scheduling) התייצב, תוך התחשבות בטופולוגיה של קטעי התרמילים (תוך התחשבות במגבלות שנקבעו לצמתים ואזורים).
עברנו לשלב בדיקות הבטא של APIServer DryRun, צוות Kubectl Diff והיכולת להשתמש במכשירי חסימה גולמיים כמקורות נתונים מתמשכים (מקור נפח מתמשך).
אם אתה רוצה לדעת קצת יותר על המהדורה החדשה הזו יכול בקר בקישור הבא.