内容简介:Kubernetes开源系统中用于处理容器化应用程序的一个关键漏洞可以使攻击者获得Kubernetes计算节点的完全管理员权限。Kubernetes通过将应用程序容器组织到pod,节点(物理或虚拟机)和集群中,可以更轻松地管理容器环境。 多个节点形成一个集群,由主服务器管理,协调与集群相关的活动,如扩展,调度或更新应用程序。每个节点都有一个名为Kubelet的代理,可以通过API促进与Kubernetes主站的通信。 Kubernetes系统中可用的节点数量可能是数百甚至数千。
Kubernetes开源系统中用于处理容器化应用程序的一个关键漏洞可以使攻击者获得Kubernetes计算节点的完全管理员权限。
Kubernetes通过将应用程序容器组织到pod,节点(物理或虚拟机)和集群中,可以更轻松地管理容器环境。 多个节点形成一个集群,由主服务器管理,协调与集群相关的活动,如扩展,调度或更新应用程序。
每个节点都有一个名为Kubelet的代理,可以通过API促进与Kubernetes主站的通信。 Kubernetes系统中可用的节点数量可能是数百甚至数千。
使这个安全问题非常关键的是大多数Kubernetes系统可以包含数千个节点,用于管理各种应用程序的容器环境。
“在默认配置中,允许所有用户(经过身份验证和未经身份验证的用户)执行允许此升级的发现API调用,”Jordan Liggitt在致Kubernetes GitHub存储库的 原始问题中说 。
此外,还可以通过升级pod exec/attach/portforward API调用来利用该漏洞,以便能够针对pod规范中定义的节点针对kubelet API运行任何API请求。
一旦潜在的攻击者获得对Kubernetes服务目录的集群管理员级别访问权限,他们就可以轻松地在任何节点和任何名称空间中创建代理服务,从而允许简单部署恶意代码或更改任何现有服务。
CVE-2018-1002105安全影响评分为9.8分
此外,“所有基于Kubernetes的服务和产品都受到影响”, 据Red Hat称 ,“权限升级漏洞使任何用户都可以获得在Kubernetes集群中运行的任何计算节点的完全管理员权限。”
特权升级漏洞的安全影响评分为Critical,CVSS3基本评分为9.8,最高为10,并且被标记为CVE-2018-1002105。
Kubernetes v1.10.11,v1.11.5,v1.12.3和v1.13.0-rc.1已作为关键CVE-2018-1002105安全问题的修复程序发布,这使得所有以前的Kubernetes API Server版本都容易被利用。
Red Hat还补充说,潜在的攻击者“这个行动者不仅可以窃取敏感数据或注入恶意代码,而且还可以从组织的防火墙内删除生产应用程序和服务。”
Linux公社的RSS地址 : https://www.linuxidc.com/rssFeed.aspx
本文永久更新链接地址: https://www.linuxidc.com/Linux/2018-12/155707.htm
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:
- 修复缺陷的正确姿势
- Spring Framework 5.0.1 小版本更新,修复部分缺陷
- Java 通用代码生成器光 2.2.0 智慧第四个 Beta 版公布,修复缺陷,更多测试。
- Java 通用代码生成器光 2.2.0 智慧第五个 Beta 版公布,改进编译检查,修复缺陷
- 从0到1创建高效的产品缺陷管理流程(1):缺陷是什么? 如何建立缺陷管理流程?
- 为什么说缺陷去除效率比测试缺陷率更适合软件质量度量?
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
小团队构建大网站:中小研发团队架构实践
张辉清 等 / 电子工业出版社 / 2019-1 / 69
《小团队构建大网站:中小研发团队架构实践》结合作者近几年的工作经验,总结了一套可直接落地、基于开源、成本低、可快速搭建的中小研发团队架构实践方法。《小团队构建大网站:中小研发团队架构实践》共5篇22章,开篇是本书的导读;架构篇是设计思想的提升,包括企业总体架构、应用架构设计、统一应用分层等;框架篇主讲中间件和工具的使用,包括消息队列、缓存、Job、集中式日志、应用监控和微服务等;公共应用篇是技术与......一起来看看 《小团队构建大网站:中小研发团队架构实践》 这本书的介绍吧!
