Kubernetes konteineru platformas jaunais izlaidums 1.13 novērš kritisko ievainojamību (CVE-2018-1002105), kas ļauj jebkuram lietotājam iegūt pilnīgu kontroli pār izolētu konteineru grupu. Problēma tika novērsta arī atjauninājumos 1.10.11, 1.11.5 un 1.12.3.
Kubernetes atrastajā ievainojamībā, lai veiktu uzbrukumu, pietiek ar API sūtīt speciāli izstrādātu pieprasījumu, lai noteiktu pieejamās aizmugures (atklāšanas pieprasījums).
Par Kubernetes ievainojamību
Kļūdas dēļ šāda veida pieprasījums atstāj atvērtu tīkla savienojumu, ļaujot izmantot API serveri (kube-apiserver) kā starpnieks, lai nosūtītu pieprasījumus uz jebkuru serveri, izmantojot savienojumu, kas izveidots ar API serveri.
Līdz ar to pieprasījumus, kas pārsūtīti, izmantojot šādus savienojumus, aizmugures apstrādās kā iekšējos API servera pieprasījumus, nosūtīts, izmantojot API servera autentifikācijas parametrus.
Pēc noklusējuma, visiem autentificētajiem un neautentificētajiem Kubernetes lietotājiem ir iespēja nosūtīt pieprasījumus, izmantojot atklāšanas API, kas ir pietiekami, lai sāktu uzbrukumu.
Tāpēc jebkurš priviliģēts Kubernetes lietotājs, kuram ir piekļuve API, var iegūt pilnīgu kontroli pār visu infrastruktūru, piemēram, nosūtot pieprasījumu palaist viņu kodu resursdatorā.
Papildus tam, ka tiek iegūta kontrole pār Kubernetes infrastruktūru, ievainojamība var attiekties arī uz uzbrukumiem, kas vērsti uz klientiem, manipulējot ar mākoņa bāzes klientu pakalpojumiem.
Problēma izpaužas visās Kubernetes versijās, sākot ar versiju 1.0.
Tāpēc visi Kubernetes administratori tiek aicināti steidzami atjaunināt savas sistēmas atbilstoši aktuālajām problēmām, kā arī pārbaudīt sistēmas žurnālus par iespējamām ļaunprātīgām darbībām.
Kā risinājumu aizsardzībai pret nesankcionētu lietotāju uzbrukumiem viņi var atspējot anonīmu piekļuvi API izmantojot opciju "–anonymous-auth = false" un atsaucot tiesības veikt exec / attach / portforward darbības.
Atsevišķi tiek atzīmēts, ka Kubernetes žurnālos uzbrukums, izmantojot neatļautus pieprasījumus, vispār netiek reģistrēts, tāpēc bija iespējams noteikt, vai kompromiss bija iespējams tikai ar netiešām pazīmēm.
Par jauno Kubernetes 1.13 laidienu un jaunumiem
Šajā jaunajā Kubernetes 1.13 laidienā CSI (Container Storage Interface) interfeiss ir stabilizēts, ļaujot jums izveidot spraudņus vairāku atmiņas sistēmu atbalstam.
CSI nodrošina vienu saskarni vietas piešķiršanai, krātuvju pievienošanai un pievienošanai, ļaujot izveidot spraudņus integrācijai ar dažādiem krātuves pakalpojumiem, neveicot izmaiņas Kubernetes koda bāzē.
Pēc noklusējuma tiek izmantots CoreDNS DNS serveris.
CoreDNS ir rakstīts Go valodā un izceļas ar elastīgu uz spraudņiem balstītu arhitektūru.
Piemēram, īpašas funkcijas, piemēram, Kubernetes pakalpojuma atrašana, Prometheus uzraudzības sistēmas metriskā uzkrāšana un integrācija ar konfigurācijas glabāšanas sistēmu utt. tie tiek ieviesti, izmantojot spraudņus.
Kubeadm ir stabilizēts kā vienkāršota saskarne Kubernetes kopas pārvaldībai, kas ļauj veikt tādas darbības kā izveidot un izvietot klasteri esošajā datorā, konfigurēt Kubernete pamatkomponentus, savienot un noņemt mezglus, veikt jaunināšanas darbības;
Tiek parādīts eksperimentāls interfeiss, lai izveidotu spraudņus integrācijai ar trešo pušu uzraudzības sistēmām.
Pakalpojumā stabilizētais Kubelet ierīces spraudņu reģistrs, kas nodrošina līdzekļus Kubelet piekļuvei no spraudņiem.
TAVS (Topology Aware Volume Scheduling) konteineru izplatīšanas plānotājs ir stabilizēts, ņemot vērā pod sadaļu topoloģiju (ņemot vērā mezgliem un zonām noteiktos ierobežojumus).
Mēs devāmies uz APIServer DryRun, Kubectl Diff komandas beta testēšanas fāzi un iespēju izmantot neapstrādātas bloķēšanas ierīces kā pastāvīgus datu avotus (pastāvīgs tilpuma avots).
Ja vēlaties uzzināt nedaudz vairāk par šo jauno laidienu var apmeklējiet šo saiti.