Kubernetes Container Platform Nové vydanie 1.13 odstraňuje kritickú zraniteľnosť (CVE-2018-1002105), ktorý umožňuje každému používateľovi získať úplnú kontrolu nad skupinou izolovaných kontajnerov. Tento problém bol opravený aj v aktualizáciách 1.10.11, 1.11.5 a 1.12.3.
Zraniteľnosť nachádzajúca sa v Kubernetes na vykonanie útoku stačí poslať špeciálne navrhnutú požiadavku cez API na určenie dostupných backendov (požiadavka na objavenie).
O zraniteľnosti Kubernetes
Z dôvodu chyby tento typ požiadavky ponecháva otvorené sieťové pripojenie, čo umožňuje použitie servera API (kube-apiserver) ako sprostredkovateľ na odosielanie požiadaviek na akýkoľvek server pomocou spojenia nadviazaného so serverom API.
V súlade s tým, požiadavky postúpené cez tieto spojenia bude backend spracovávať ako interné požiadavky servera API, odoslané pomocou parametrov autentifikácie servera API.
Predvolene, všetci autentifikovaní a neoverení používatelia Kubernetes majú možnosť posielať prostredníctvom vyhľadávacieho rozhrania API požiadavky, ktoré sú dostatočné na spustenie útoku.
Preto môže každý neprivilegovaný používateľ Kubernetes, ktorý má prístup k API, získať úplnú kontrolu nad celou infraštruktúrou, napríklad odoslaním žiadosti o spustenie svojho kódu na hostiteľovi.
Okrem získania kontroly nad infraštruktúrou Kubernetes sa zraniteľnosť môže vzťahovať aj na útoky zamerané na zákazníkov prostredníctvom manipulácie so zákazníckymi službami umiestnenými v cloude.
Problém sa prejavuje vo všetkých verziách Kubernetes, počnúc verziou 1.0.
Preto sa odporúča všetkým správcom Kubernetes, aby urgentne aktualizovali svoje systémy na aktuálne problémy a aby tiež auditovali systémové protokoly, či neobsahujú potenciálne škodlivé aktivity.
Ako riešenie na ochranu pred útokmi neoprávnených používateľov môžu zakázať anonymný prístup k API pomocou voľby „–anonymous-auth = false“ a odobrať práva na vykonávanie operácií exec / attach / portforward.
Samostatne je potrebné poznamenať, že v protokoloch Kubernetes sa útok pomocou neoprávnených žiadostí vôbec nezaznamenáva, a preto bolo možné určiť, či bol kompromis možný iba nepriamymi znakmi.
O novom vydaní Kubernetes 1.13 a o tom, čo je nové
V tomto novom vydaní Kubernetes 1.13 Rozhranie CSI (Container Storage Interface) bolo stabilizované, čo vám umožňuje vytvárať doplnky na podporu viacerých úložných systémov.
CSI poskytuje jediné rozhranie na alokovanie, pripojenie a pripojenie úložísk, ktoré vám umožňuje poskytovať pluginy na integráciu s rôznymi úložnými službami bez potreby zmien v kódovej základni Kubernetes.
V predvolenom nastavení sa používa server DNS CoreDNS.
CoreDNS je napísaný v jazyku Go a vyniká flexibilnou architektúrou založenou na doplnkoch.
Napríklad konkrétne funkcie, ako je objavovanie služieb Kubernetes, akumulácia metrík pre monitorovací systém Prometheus a integrácia s konfiguračným úložným systémom atď. implementujú sa prostredníctvom doplnkov.
Kubeadm bol stabilizovaný ako zjednodušené rozhranie pre správu klastra Kubernetes, ktorý umožňuje vykonávať operácie, ako je napríklad vytváranie a nasadenie klastra na existujúcom počítači, konfigurácia základných komponentov Kubernete, pripojenie a odstránenie uzlov, vykonávanie operácií upgradu;
Uvádza sa experimentálne rozhranie na vytváranie doplnkov na integráciu s monitorovacími systémami tretích strán.
Službou stabilizovaný register doplnkov Kubelet, ktorý poskytuje prostriedky na prístup ku Kubelet z doplnkov.
Plánovač distribúcie kontajnerov TAVS (Topology Aware Volume Scheduling) bol stabilizovaný s ohľadom na topológiu sekcií podov (s ohľadom na obmedzenia stanovené pre uzly a zóny).
Pokračovali sme fázou beta testovania APIServer DryRun, tímom Kubectl Diff a schopnosťou používať zariadenia surového bloku ako trvalé zdroje údajov (trvalý zdroj zväzku).
Ak sa chcete dozvedieť viac informácií o tomto novom vydaní plechovka navštívte nasledujúci odkaz.