Kubernetes Container Platform Keluaran Baru 1.13 Menghilangkan Kerentanan Kritikal (CVE-2018-1002105), yang membolehkan mana-mana pengguna mendapat kawalan penuh ke atas sekumpulan bekas terpencil. Masalahnya juga diperbaiki dalam kemas kini 1.10.11, 1.11.5 dan 1.12.3.
Dalam kerentanan yang terdapat di Kubernetes, untuk melakukan serangan, cukup untuk mengirim permintaan yang dirancang khusus melalui API untuk menentukan backend yang tersedia (permintaan penemuan).
Mengenai kerentanan Kubernetes
Kerana terdapat kesilapan, permintaan jenis ini membiarkan sambungan rangkaian terbuka, yang memungkinkan penggunaan pelayan API (kube-apiserver) sebagai perantara untuk menghantar permintaan ke mana-mana pelayan menggunakan sambungan yang dibuat dengan pelayan API.
Oleh itu, permintaan yang diteruskan melalui sambungan tersebut akan diproses oleh backend sebagai permintaan pelayan API dalaman, dikirim menggunakan parameter pengesahan pelayan API.
Secara lalai, semua pengguna Kubernetes yang disahkan dan tidak disahkan mempunyai kemampuan untuk mengirim permintaan melalui API penemuan, yang cukup untuk melancarkan serangan.
Oleh itu, mana-mana pengguna Kubernetes yang tidak mempunyai hak istimewa yang mempunyai akses ke API dapat memperoleh kawalan sepenuhnya ke atas seluruh infrastruktur, misalnya dengan mengirimkan permintaan untuk menjalankan kod mereka di host.
Selain mendapatkan kendali terhadap infrastruktur Kubernetes, kerentanan juga dapat berlaku pada serangan yang menargetkan pelanggan melalui manipulasi perkhidmatan pelanggan berbasis cloud.
Masalahnya muncul dalam semua versi Kubernetes, bermula dengan versi 1.0.
Oleh itu, semua pentadbir Kubernetes digalakkan untuk segera mengemas kini sistem mereka kepada masalah semasa, dan juga mengaudit log sistem untuk kemungkinan aktiviti berbahaya.
Sebagai penyelesaian untuk melindungi daripada serangan dari pengguna yang tidak sah, mereka dapat menonaktifkan akses tanpa nama ke API menggunakan pilihan "–anonymous-auth = false" dan mencabut hak untuk melakukan operasi exec / attach / portforward.
Telah dinyatakan secara berasingan bahawa dalam log Kubernetes serangan menggunakan permintaan yang tidak sah sama sekali tidak dicatat, oleh itu adalah mungkin untuk menentukan apakah kompromi itu hanya mungkin dilakukan oleh tanda-tanda tidak langsung.
Mengenai keluaran Kubernetes 1.13 baru dan yang baru
Dalam keluaran Kubernetes 1.13 baru ini Antaramuka CSI (Container Storage Interface) telah distabilkan, memungkinkan anda membuat plugin untuk menyokong pelbagai sistem storan.
CSI menyediakan antara muka tunggal untuk memperuntukkan ruang, melampirkan, dan memasang repositori, yang membolehkan anda menyediakan plugin untuk penyatuan dengan pelbagai perkhidmatan penyimpanan tanpa memerlukan perubahan pada pangkalan data Kubernetes.
Secara lalai, pelayan DNS CoreDNS digunakan.
CoreDNS ditulis dalam bahasa Go dan terkenal dengan seni bina berasaskan pemalam yang fleksibel.
Sebagai contoh, fungsi tertentu seperti penemuan perkhidmatan Kubernetes, pengumpulan metrik untuk sistem pemantauan Prometheus, dan penyatuan dengan sistem penyimpanan konfigurasi, dll. mereka dilaksanakan melalui pemalam.
Kubeadm telah distabilkan sebagai antara muka yang dipermudahkan untuk menguruskan kluster Kubernetes, yang membolehkan anda melakukan operasi seperti membuat dan menyebarkan kluster pada mesin yang ada, mengkonfigurasi komponen asas Kubernete, menyambung dan mengeluarkan nod, melakukan operasi peningkatan;
Antaramuka eksperimen dipersembahkan untuk membuat plugin untuk penyatuan dengan sistem pemantauan pihak ketiga.
Registri pemalam peranti Kubelet yang diservis perkhidmatan, yang menyediakan kaedah untuk mengakses Kubelet dari pemalam.
Penjadual pengedaran kontena TAVS (Penjelasan Volume Topologi) telah distabilkan, dengan mengambil kira topologi bahagian pod (dengan mengambil kira sekatan yang ditetapkan untuk nod dan zon).
Kami pergi ke fasa pengujian beta APIServer DryRun, pasukan Kubectl Diff dan kemampuan untuk menggunakan peranti blok mentah sebagai sumber data berterusan (sumber volum berterusan).
Sekiranya anda ingin mengetahui sedikit lebih banyak mengenai keluaran baru ini boleh lawati pautan berikut.