Ang Kubernetes Container Platform na Bagong Paglabas 1.13 Tinatanggal ang Kritikal na Kahinaan (CVE-2018-1002105), na nagpapahintulot sa sinumang gumagamit na makakuha ng kumpletong kontrol sa isang pangkat ng mga nakahiwalay na lalagyan. Ang problema ay naayos din sa mga pag-update 1.10.11, 1.11.5 at 1.12.3.
Sa kahinaan na matatagpuan sa Kubernetes, upang maisagawa ang pag-atake, sapat na upang magpadala ng isang espesyal na idinisenyong kahilingan sa pamamagitan ng API upang matukoy ang mga magagamit na backend (kahilingan sa pagtuklas).
Tungkol sa kahinaan ng Kubernetes
Dahil sa isang error, ang ganitong uri ng kahilingan ay iniiwan ang koneksyon sa network na bukas, pinapayagan ang paggamit ng API server (kube-apiserver) bilang isang tagapamagitan upang magpadala ng mga kahilingan sa anumang server gamit ang koneksyon na itinatag sa API server.
Dahil dito, ang mga kahilingan na naipasa sa naturang mga koneksyon ay iproseso ng backend bilang mga panloob na kahilingan ng API server, ipinadala gamit ang mga parameter ng pagpapatotoo ng server ng API.
Bilang default, lahat ng mga napatunayan at hindi napatunayan na mga gumagamit ng Kubernetes ay may kakayahang magpadala ng mga kahilingan sa pamamagitan ng pagtuklas ng API, na sapat upang maglunsad ng isang atake.
Samakatuwid, ang sinumang hindi sikat na gumagamit ng Kubernetes na may pag-access sa API ay maaaring makakuha ng kumpletong kontrol sa buong imprastraktura, halimbawa sa pamamagitan ng pagpapadala ng isang kahilingan na patakbuhin ang kanilang code sa host.
Bilang karagdagan sa pagkakaroon ng kontrol sa imprastraktura ng Kubernetes, maaari ring mailapat ang kahinaan sa mga pag-atake na nagta-target sa mga customer sa pamamagitan ng pagmamanipula ng mga serbisyong cloud-based na customer.
Ang problema ay nagpapakita ng sarili sa lahat ng mga bersyon ng Kubernetes, nagsisimula sa bersyon 1.0.
Samakatuwid, ang lahat ng mga tagapangasiwa ng Kubernetes ay hinihikayat na agarang i-update ang kanilang mga system sa kasalukuyang mga isyu, pati na rin ang pag-audit ng mga log ng system para sa potensyal na nakakahamak na aktibidad.
Bilang isang solusyon upang maprotektahan laban sa mga pag-atake mula sa hindi pinahintulutang mga gumagamit, maaari nilang hindi paganahin ang hindi nagpapakilalang pag-access sa API gamit ang opsyong "–anonymous-auth = false" at bawiin ang mga karapatang magsagawa ng mga pagpapatakbo na exec / attach / portforward.
Hiwalay na nabanggit na sa mga log ng Kubernetes ang pag-atake gamit ang hindi pinahintulutang mga kahilingan ay hindi naka-log sa lahat, samakatuwid ay posible upang matukoy kung ang kompromiso ay posible lamang sa pamamagitan ng hindi direktang mga palatandaan.
Tungkol sa bagong paglabas ng Kubernetes 1.13 at kung ano ang bago
Sa bagong paglabas ng Kubernetes 1.13 ang interface ng CSI (Container Storage Interface) ay na-stabilize, na nagbibigay-daan sa iyo upang lumikha ng mga plugin upang suportahan ang iba't ibang mga system ng imbakan.
Nagbibigay ang CSI ng isang solong interface para sa paglalaan ng espasyo, paglakip, at pag-mount ng mga repository, na nagbibigay-daan sa iyong magbigay ng mga plugin para sa pagsasama sa iba't ibang mga serbisyo sa imbakan nang hindi kailangan ng mga pagbabago sa codebase ng Kubernetes.
Bilang default, ginagamit ang server ng CoreDNS DNS.
Ang CoreDNS ay nakasulat sa wikang Go at nakatayo para sa isang nababaluktot na arkitekturang nakabatay sa plugin.
Halimbawa, ang mga tukoy na tampok tulad ng pagtuklas sa serbisyo ng Kubernetes, akumulasyon ng sukatan para sa sistemang pagsubaybay ng Prometheus, at pagsasama sa sistema ng imbakan ng pagsasaayos, atbp. ipinapatupad ang mga ito sa pamamagitan ng mga plugin.
Ang Kubeadm ay na-stabilize bilang isang pinasimple na interface para sa pamamahala ng Kubernetes cluster, na nagbibigay-daan sa iyo upang maisagawa ang mga pagpapatakbo tulad ng paglikha at pag-deploy ng isang kumpol sa umiiral na makina, i-configure ang mga pangunahing bahagi ng Kubernete, kumonekta at alisin ang mga node, magsagawa ng mga pagpapatakbo ng pag-upgrade;
Ipinapakita ang isang pang-eksperimentong interface para sa paglikha ng mga plugin para sa pagsasama sa mga system ng pagsubaybay ng third-party.
Ang nagpatatag ng serbisyo na Kubelet aparato plug-in na pagpapatala, na nagbibigay ng mga paraan upang ma-access ang Kubelet mula sa mga plug-in.
Ang tagapag-iskedyul ng pamamahagi ng lalagyan ng TAVS (Topology Aware Volume) ay na-stabilize, isinasaalang-alang ang topology ng mga seksyon ng pod (isinasaalang-alang ang mga paghihigpit na itinakda para sa mga node at zone).
Nagpunta kami sa yugto ng pagsubok ng beta ng APIServer DryRun, ang koponan ng Kubectl Diff at ang kakayahang gumamit ng mga hilaw na aparato ng block bilang paulit-ulit na mapagkukunan ng data (paulit-ulit na mapagkukunan ng dami).
Kung nais mong malaman ng kaunti pa tungkol sa bagong paglabas na ito maaari bisitahin ang sumusunod na link.