Naujas „Kubernetes“ konteinerių platformos 1.13 leidimas pašalina kritinį pažeidžiamumą (CVE-2018-1002105), kuris leidžia bet kuriam vartotojui visiškai kontroliuoti izoliuotų talpyklų grupę. Problema taip pat buvo išspręsta atnaujinant 1.10.11, 1.11.5 ir 1.12.3.
Kad būtų galima įvykdyti ataką, „Kubernetes“ rastame pažeidžiamume pakanka per API išsiųsti specialiai sukurtą užklausą, kad būtų galima nustatyti galimas backendes („discovery request“).
Apie „Kubernetes“ pažeidžiamumą
Dėl klaidos tokio tipo užklausa palieka atvirą tinklo ryšį, leidžiantį naudoti API serverį (kube-apiserver) kaip tarpininkas siųsti užklausas į bet kurį serverį naudojant ryšį, užmegztą su API serveriu.
Taigi, užklausas, persiųstas per tokius ryšius, vidinė aplinka apdoros kaip vidines API serverio užklausas, išsiųstas naudojant API serverio autentifikavimo parametrus.
Pagal numatytuosius nustatymus visi autentifikuoti ir neautentifikuoti „Kubernetes“ vartotojai gali siųsti užklausas per atradimo API, kurių pakanka atakai pradėti.
Todėl kiekvienas neprivilegijuotas „Kubernetes“ vartotojas, turintis prieigą prie API, gali visiškai valdyti visą infrastruktūrą, pavyzdžiui, siųsdamas užklausą paleisti jų kodą pagrindiniame kompiuteryje.
Be „Kubernetes“ infrastruktūros kontrolės įgijimo, pažeidžiamumas taip pat gali būti taikomas atakoms, nukreiptoms į klientus, manipuliuojant debesų kliento paslaugomis.
Problema pasireiškia visomis „Kubernetes“ versijomis, pradedant 1.0 versija.
Todėl visi „Kubernetes“ administratoriai raginami skubiai atnaujinti savo sistemas atsižvelgiant į aktualias problemas, taip pat tikrinti sistemos žurnalus, ar nėra galimos kenkėjiškos veiklos.
Kaip sprendimą apsisaugoti nuo neteisėtų vartotojų išpuolių, jie gali išjungti anoniminę prieigą prie API naudodami parinktį „–anonymous-auth = false“ ir panaikinkite teises atlikti „exec / attach / portforward“ operacijas.
Atskirai pažymima, kad „Kubernetes“ žurnaluose ataka naudojant neteisėtas užklausas apskritai nėra registruojama, todėl buvo galima nustatyti, ar kompromisas buvo įmanomas tik netiesioginiais ženklais.
Apie naująjį „Kubernetes 1.13“ leidimą ir kas naujo
Šiame naujame „Kubernetes 1.13“ leidime CSI („Container Storage Interface“) sąsaja buvo stabilizuota, leidžianti sukurti papildinius kelioms saugojimo sistemoms palaikyti.
CSI suteikia vieną sąsają, skirtą vietos paskirstymui, saugyklų prijungimui ir prijungimui, leidžiančią jums sukurti papildinius, skirtus integruoti su įvairiomis saugojimo paslaugomis, nereikia keisti „Kubernetes“ kodų bazės.
Pagal numatytuosius nustatymus naudojamas „CoreDNS“ DNS serveris.
„CoreDNS“ yra parašyta „Go“ kalba ir turi lanksčią įskiepių architektūrą.
Pavyzdžiui, konkrečios funkcijos, tokios kaip „Kubernetes“ paslaugų atradimas, „Prometheus“ stebėjimo sistemos metrinis kaupimas ir integracija su konfigūracijos saugojimo sistema ir kt. jie įgyvendinami naudojant papildinius.
„Kubeadm“ buvo stabilizuota kaip supaprastinta sąsaja valdant „Kubernetes“ klasterį, kuris leidžia jums atlikti tokias operacijas kaip sukurti ir įdiegti klasterį esamame kompiuteryje, konfigūruoti pagrindinius „Kubernete“ komponentus, prijungti ir pašalinti mazgus, atlikti naujovinimo operacijas;
Pateikiama eksperimentinė sąsaja, skirta kurti papildinius integracijai su trečiųjų šalių stebėjimo sistemomis.
Paslaugoje stabilizuotas „Kubelet“ įrenginių įskiepių registras, kuris suteikia galimybę pasiekti „Kubelet“ iš papildinių.
TAVS („Topology Aware Volume Scheduling“) konteinerių paskirstymo planavimo priemonė buvo stabilizuota, atsižvelgiant į pod skyrių topologiją (atsižvelgiant į mazgams ir zonoms nustatytus apribojimus).
Mes nuėjome į APIServer DryRun, „Kubectl Diff“ komandos beta testavimo etapą ir galimybę naudoti neapdorotų blokų įrenginius kaip nuolatinius duomenų šaltinius (nuolatinį tūrio šaltinį).
Jei norite sužinoti šiek tiek daugiau apie šį naują leidimą galima apsilankykite šioje nuorodoje.