Kubernetes Container Platformの新しいリリース1.13は重大な脆弱性を削除します(CVE-2018-1002105)、これにより、すべてのユーザーが分離されたコンテナーのグループを完全に制御できるようになります。 この問題は、アップデート1.10.11、1.11.5、および1.12.3でも修正されました。
Kubernetesで見つかった脆弱性では、攻撃を実行するには、APIを介して特別に設計された要求を送信して、使用可能なバックエンドを判別するだけで十分です(検出要求)。
Kubernetesの脆弱性について
エラーのため、このタイプのリクエストはネットワーク接続を開いたままにし、APIサーバーの使用を許可します (kube-apiserver)APIサーバーで確立された接続を使用して任意のサーバーに要求を送信するための仲介者として。
その結果、 このような接続を介して転送されたリクエストは、内部APIサーバーリクエストとしてバックエンドによって処理されます、APIサーバー認証パラメーターを使用して送信されます。
デフォルトでは、 すべての認証済みおよび未認証のKubernetesユーザーは、攻撃を開始するのに十分な検出APIを介して要求を送信することができます。
したがって、APIにアクセスできる非特権のKubernetesユーザーは、たとえばホスト上でコードを実行する要求を送信することにより、インフラストラクチャ全体を完全に制御できます。
この脆弱性は、Kubernetesインフラストラクチャの制御を取得することに加えて、クラウドにある顧客サービスの操作を通じて顧客を標的とする攻撃にも適用される可能性があります。
この問題は、バージョン1.0以降のすべてのバージョンのKubernetesで明らかになります。
したがって、すべてのKubernetes管理者は、システムを現在の問題に早急に更新し、潜在的な悪意のあるアクティビティについてシステムログを監査することをお勧めします。
許可されていないユーザーからの攻撃から保護するためのソリューションとして、APIへの匿名アクセスを無効にすることができます 「–anonymous-auth = false」オプションを使用して、exec / attach / portforward操作を実行する権限を取り消します。
Kubernetesログでは、許可されていない要求を使用した攻撃はまったくログに記録されないため、間接的な兆候によってのみ侵害が可能かどうかを判断できたことに注意してください。
新しいKubernetes1.13リリースと新機能について
この新しいKubernetes1.13リリースでは Container Storage Interface(CSI)インターフェースが安定化され、複数のストレージシステムをサポートするプラグインを作成できるようになりました。
CSIは、リポジトリの割り当て、接続、およびマウントのための単一のインターフェイスを提供し、Kubernetesコードベースを変更することなく、さまざまなストレージサービスと統合するためのプラグインをプロビジョニングできるようにします。
デフォルトでは、CoreDNSDNSサーバーが使用されます。
CoreDNSはGo言語で記述されており、柔軟なプラグインベースのアーキテクチャで際立っています。
たとえば、Kubernetesサービスの検出、Prometheus監視システムのメトリックの蓄積、構成ストレージシステムとの統合などの特定の機能。 それらはプラグインを介して実装されます。
Kubeadmは、Kubernetesクラスターを管理するための簡素化されたインターフェイスとして安定化されました、既存のマシンでのクラスターの作成と展開、Kuberneteの基本コンポーネントの構成、ノードの接続と削除、アップグレード操作の実行などの操作を実行できます。
サードパーティの監視システムと統合するためのプラグインを作成するための実験的なインターフェイスが提供されます。
プラグインからKubeletにアクセスする手段を提供するサービス安定化Kubeletデバイスプラグインレジストリ。
TAVS(Topology Aware Volume Scheduling)コンテナ配布スケジューラは、ポッドセクションのトポロジを考慮して(ノードとゾーンに設定された制限を考慮して)安定化されました。
APIServer DryRun、Kubectl Diffチーム、および永続データソース(永続ボリュームソース)としてrawブロックデバイスを使用する機能のベータテストフェーズに進みました。
この新しいリリースについてもう少し知りたい場合 缶 次のリンクにアクセスしてください。