Kubernetes 1.13이 도착하여 발견 된 중요한 취약성을 수정합니다.

Darkcrizt

4 분

Kubernetes

Kubernetes Container Platform 새 릴리스 1.13으로 심각한 취약성 제거 (CVE-2018-1002105), 모든 사용자가 격리 된 컨테이너 그룹을 완벽하게 제어 할 수 있습니다. 이 문제는 업데이트 1.10.11, 1.11.5 및 1.12.3에서도 수정되었습니다.

Kubernetes에서 발견 된 취약성에서 공격을 수행하기 위해 API를 통해 특별히 설계된 요청을 보내 사용 가능한 백엔드 (검색 요청)를 확인하는 것으로 충분합니다.

Kubernetes 취약성 정보

오류로 인해 이러한 유형의 요청은 네트워크 연결을 열어 두어 API 서버를 사용할 수 있도록합니다. (kube-apiserver)는 API 서버와 설정된 연결을 사용하여 모든 서버에 요청을 보내는 중개자 역할을합니다.

결과적으로, 이러한 연결을 통해 전달 된 요청은 내부 API 서버 요청으로 백엔드에서 처리됩니다., API 서버 인증 매개 변수를 사용하여 전송됩니다.

기본적으로, 인증 및 인증되지 않은 모든 Kubernetes 사용자는 검색 API를 통해 요청을 보낼 수 있으며, 이는 공격을 시작하기에 충분합니다.

따라서 API에 대한 액세스 권한이있는 권한이없는 Kubernetes 사용자는 호스트에서 코드 실행 요청을 보내는 등 전체 인프라를 완벽하게 제어 할 수 있습니다.

Kubernetes 인프라를 제어하는 ​​것 외에도이 취약성은 클라우드 기반 고객 서비스 조작을 통해 고객을 대상으로하는 공격에도 적용될 수 있습니다.

이 문제는 버전 1.0부터 시작하여 모든 Kubernetes 버전에서 나타납니다.

따라서 모든 Kubernetes 관리자는 시스템 로그를 잠재적 인 악의적 활동에 대해 감사 할뿐만 아니라 현재 문제로 시스템을 긴급하게 업데이트하는 것이 좋습니다.

권한이없는 사용자의 공격으로부터 보호하기위한 솔루션으로 API에 대한 익명 액세스를 비활성화 할 수 있습니다. "–anonymous-auth = false"옵션을 사용하고 exec / attach / portforward 작업을 수행 할 수있는 권한을 취소합니다.

Kubernetes 로그에서 무단 요청을 사용한 공격은 전혀 기록되지 않으므로 간접적 인 징후로만 침해가 가능한지 여부를 확인할 수있었습니다.

새로운 Kubernetes 1.13 릴리스 및 새로운 기능 정보

쿠버네티스 1.13

이 새로운 Kubernetes 1.13 릴리스에서 CSI (Container Storage Interface) 인터페이스가 안정화되어 다양한 스토리지 시스템을 지원하는 플러그인을 만들 수 있습니다.

CSI는 공간 할당, 리포지토리 연결 및 마운트를위한 단일 인터페이스를 제공하므로 Kubernetes 코드베이스를 변경하지 않고도 다양한 스토리지 서비스와의 통합을위한 플러그인을 프로비저닝 할 수 있습니다.

기본적으로 CoreDNS DNS 서버가 사용됩니다.

CoreDNS는 Go 언어로 작성되었으며 유연한 플러그인 기반 아키텍처로 유명합니다.

예를 들어 Kubernetes 서비스 검색, Prometheus 모니터링 시스템에 대한 메트릭 누적, 구성 스토리지 시스템과의 통합 등과 같은 특정 기능이 있습니다. 플러그인을 통해 구현됩니다.

Kubeadm은 Kubernetes 클러스터 관리를위한 단순화 된 인터페이스로 안정화되었습니다., 기존 컴퓨터에서 클러스터 생성 및 배포, Kubernete의 기본 구성 요소 구성, 노드 연결 및 제거, 업그레이드 작업 수행과 같은 작업을 수행 할 수 있습니다.

타사 모니터링 시스템과의 통합을위한 플러그인 생성을위한 실험 인터페이스가 제공됩니다.

플러그인에서 Kubelet에 액세스 할 수있는 수단을 제공하는 서비스 안정화 Kubelet 장치 플러그인 레지스트리.

TAVS (Topology Aware Volume Scheduling) 컨테이너 배포 스케줄러는 포드 섹션의 토폴로지를 고려하여 안정화되었습니다 (노드 및 영역에 설정된 제한 사항 고려).

APIServer DryRun의 베타 테스트 단계, Kubectl Diff 팀 및 원시 블록 장치를 영구 데이터 원본 (영구 볼륨 원본)으로 사용할 수있는 기능을 살펴 보았습니다.

이 새로운 릴리스에 대해 조금 더 알고 싶다면다음 링크를 방문하십시오.


코멘트를 남겨주세요

귀하의 이메일 주소는 공개되지 않습니다. 필수 필드가 표시되어 있습니다 *

*

*

  1. 데이터 책임자 : Miguel Ángel Gatón
  2. 데이터의 목적 : 스팸 제어, 댓글 관리.
  3. 합법성 : 귀하의 동의
  4. 데이터 전달 : 법적 의무에 의한 경우를 제외하고 데이터는 제 XNUMX 자에게 전달되지 않습니다.
  5. 데이터 저장소 : Occentus Networks (EU)에서 호스팅하는 데이터베이스
  6. 권리 : 귀하는 언제든지 귀하의 정보를 제한, 복구 및 삭제할 수 있습니다.