hubanbei00的家园 2018-12-05
Kubernetes开源系统中用于处理容器化应用程序的一个关键漏洞可以使攻击者获得Kubernetes计算节点的完全管理员权限。
Kubernetes通过将应用程序容器组织到pod,节点(物理或虚拟机)和集群中,可以更轻松地管理容器环境。 多个节点形成一个集群,由主服务器管理,协调与集群相关的活动,如扩展,调度或更新应用程序。
每个节点都有一个名为Kubelet的代理,可以通过API促进与Kubernetes主站的通信。 Kubernetes系统中可用的节点数量可能是数百甚至数千。
使这个安全问题非常关键的是大多数Kubernetes系统可以包含数千个节点,用于管理各种应用程序的容器环境。
“在默认配置中,允许所有用户(经过身份验证和未经身份验证的用户)执行允许此升级的发现API调用,”Jordan Liggitt在致Kubernetes GitHub存储库的原始问题中说。
此外,还可以通过升级pod exec/attach/portforward API调用来利用该漏洞,以便能够针对pod规范中定义的节点针对kubelet API运行任何API请求。
一旦潜在的攻击者获得对Kubernetes服务目录的集群管理员级别访问权限,他们就可以轻松地在任何节点和任何名称空间中创建代理服务,从而允许简单部署恶意代码或更改任何现有服务。
CVE-2018-1002105安全影响评分为9.8分
此外,“所有基于Kubernetes的服务和产品都受到影响”,据Red Hat称,“权限升级漏洞使任何用户都可以获得在Kubernetes集群中运行的任何计算节点的完全管理员权限。”
特权升级漏洞的安全影响评分为Critical,CVSS3基本评分为9.8,最高为10,并且被标记为CVE-2018-1002105。
Kubernetes v1.10.11,v1.11.5,v1.12.3和v1.13.0-rc.1已作为关键CVE-2018-1002105安全问题的修复程序发布,这使得所有以前的Kubernetes API Server版本都容易被利用。
Red Hat还补充说,潜在的攻击者“这个行动者不仅可以窃取敏感数据或注入恶意代码,而且还可以从组织的防火墙内删除生产应用程序和服务。”