Nền tảng vùng chứa Kubernetes Bản phát hành mới 1.13 Loại bỏ lỗ hổng nghiêm trọng (CVE-2018-1002105), cho phép bất kỳ người dùng nào có được quyền kiểm soát hoàn toàn đối với một nhóm các vùng chứa bị cô lập. Sự cố cũng đã được khắc phục trong các bản cập nhật 1.10.11, 1.11.5 và 1.12.3.
Trong lỗ hổng được tìm thấy trong Kubernetes, để thực hiện cuộc tấn công, chỉ cần gửi một yêu cầu được thiết kế đặc biệt thông qua API để xác định các phụ trợ có sẵn (yêu cầu khám phá).
Giới thiệu về lỗ hổng Kubernetes
Do lỗi, loại yêu cầu này khiến kết nối mạng mở, cho phép sử dụng API máy chủ (kube-apiserver) làm trung gian để gửi yêu cầu đến bất kỳ máy chủ nào bằng cách sử dụng kết nối được thiết lập với máy chủ API.
Do đó, các yêu cầu được chuyển tiếp qua các kết nối như vậy sẽ được phần phụ trợ xử lý dưới dạng yêu cầu máy chủ API nội bộ, được gửi bằng các tham số xác thực máy chủ API.
Theo mặc định, tất cả người dùng Kubernetes đã xác thực và chưa xác thực đều có khả năng gửi yêu cầu thông qua API khám phá, đủ để khởi động một cuộc tấn công.
Do đó, bất kỳ người dùng Kubernetes không có đặc quyền nào có quyền truy cập vào API đều có thể giành quyền kiểm soát hoàn toàn đối với toàn bộ cơ sở hạ tầng, ví dụ: bằng cách gửi yêu cầu chạy mã của họ trên máy chủ.
Ngoài việc giành quyền kiểm soát cơ sở hạ tầng Kubernetes, lỗ hổng bảo mật cũng có thể áp dụng cho các cuộc tấn công nhắm vào khách hàng thông qua việc thao túng các dịch vụ khách hàng nằm trên đám mây.
Vấn đề thể hiện ở tất cả các phiên bản của Kubernetes, bắt đầu từ phiên bản 1.0.
Do đó, tất cả các quản trị viên Kubernetes được khuyến khích khẩn trương cập nhật hệ thống của họ theo các vấn đề hiện tại, cũng như kiểm tra nhật ký hệ thống để tìm hoạt động nguy hiểm tiềm ẩn.
Là một giải pháp để bảo vệ khỏi các cuộc tấn công từ người dùng trái phép, họ có thể vô hiệu hóa quyền truy cập ẩn danh vào API sử dụng tùy chọn "–anonymous-auth = false" và thu hồi quyền thực hiện các hoạt động thực thi / đính kèm / chuyển tiếp.
Cần lưu ý riêng rằng trong nhật ký Kubernetes, cuộc tấn công sử dụng các yêu cầu trái phép hoàn toàn không được ghi lại, do đó có thể xác định liệu thỏa hiệp có khả thi hay không chỉ bằng các dấu hiệu gián tiếp.
Giới thiệu về bản phát hành Kubernetes 1.13 mới và có gì mới
Trong bản phát hành Kubernetes 1.13 mới này Giao diện CSI (Container Storage Interface) đã được ổn định, cho phép bạn tạo các plugin để hỗ trợ nhiều hệ thống lưu trữ.
CSI cung cấp một giao diện duy nhất để phân bổ, đính kèm và gắn các kho lưu trữ, cho phép bạn cung cấp các plugin để tích hợp với các dịch vụ lưu trữ khác nhau mà không cần thay đổi cơ sở mã Kubernetes.
Theo mặc định, máy chủ DNS CoreDNS được sử dụng.
CoreDNS được viết bằng ngôn ngữ Go và nổi bật với kiến trúc dựa trên plugin linh hoạt.
Ví dụ, các chức năng cụ thể như khám phá dịch vụ Kubernetes, tích lũy số liệu cho hệ thống giám sát Prometheus và tích hợp với hệ thống lưu trữ cấu hình, v.v. chúng được thực hiện thông qua các plugin.
Kubeadm đã được ổn định như một giao diện đơn giản hóa để quản lý cụm Kubernetes, cho phép bạn thực hiện các thao tác như tạo và triển khai một cụm trên máy hiện có, cấu hình các thành phần cơ bản của Kubernete, kết nối và loại bỏ các nút, thực hiện các thao tác nâng cấp;
Giao diện thử nghiệm được trình bày để tạo các plugin tích hợp với hệ thống giám sát của bên thứ ba.
Sổ đăng ký plugin thiết bị Kubelet ổn định về dịch vụ, cung cấp phương tiện để truy cập Kubelet từ các plugin.
Bộ lập lịch phân phối vùng chứa TAVS (Topology Aware Volume Scheduling) đã được ổn định, có tính đến cấu trúc liên kết của các phần nhóm (có tính đến các hạn chế được đặt cho các nút và vùng).
Chúng tôi đã đi đến giai đoạn thử nghiệm beta của APIServer DryRun, nhóm Kubectl Diff và khả năng sử dụng các thiết bị khối thô làm nguồn dữ liệu liên tục (nguồn khối lượng liên tục).
Nếu bạn muốn biết thêm một chút về bản phát hành mới này có thể truy cập liên kết sau.