Vad är Kubernetes?
Här hittar du allt du behöver att veta om Kubernetes. Läs mer: https://zd.net/2N9e0EB
Den Kubernetes projektet har lappat idag en farlig säkerhetsbrist som kan möjliggöra för smart hack där angripare kan köra kod på den mottagande maskinen.
Sårbarheten påverkar inte den Kubernetes systemet i sig, men kubectl (Kube kontroll), den officiella command-line verktyg för att arbeta med Kubernetes installationer.
Säkerhetsforskare har upptäckt en säkerhetsbrist i kubectl cp (copy) operation som används för att överföra filer från en behållare till en användares mottagande maskinen.
Hackare kan exekvera kod via “kopiera” operation
“För att kopiera filer från en behållare, Kubernetes går tjära inuti behållaren för att skapa ett tar-arkiv, kopieras den över nätet, och kubectl packar upp det på användarens dator, säger Joel Smith, en medlem av den Kubernetes Produkt Säkerhetspolitik.
“Om tjära binära i behållaren är skadlig, det kunde för att köra valfri kod och utgång oväntade skadliga resultat. En angripare skulle kunna utnyttja denna för att skriva filer till en väg på användarens dator när kubectl cp kallas, begränsad endast av systemet tillstånd för lokala användare”, sade han.
Utnyttja detta fel är inte helt enkelt, som en angripare behöver för att en första plats skadliga filer inne i en Kubernetes behållaren, och sedan vänta på en Kubernetes admin för att överföra dessa filer till hans system.
Skadliga filer skulle köra automatiskt, men denna attack bygger också på tur och en liten bit av social ingenjörskonst.
Värddatorn hack kan leda till total kompromiss
Ändå, Wei Lien Dang, Grundare och Vice Vd för Produktutveckling på StackRox, ser denna sårbarhet som mycket farliga, oavsett.
“Denna sårbarhet är om eftersom det skulle göra det möjligt för en angripare för att skriva över känsliga sökvägar eller lägga till filer som är skadliga program, som sedan kan överföras till kompromiss betydande delar av Kubernetes miljöer,” Wei berättade ZDNet i ett mail förra veckan.
“Denna typ av bedrift visar hur en klient-sidan sårbarhet kan användas för att potentiellt äventyra produktion miljöer, särskilt eftersom vi har observerat att de bästa metoderna för att minska denna typ av hot vektor är inte alltid följs.
“Användare kan till exempel vara igång kubectl på produktion noder eller utan lämpliga role-based access control för att begränsa tillgång till hela klustret eller med förhöjd lokala behörigheter,” Wei till.
“Dessutom, fix, som är att uppgradera till senare versioner av kubectl, kan vara svårare att upprätthålla eftersom det är beroende av enskilda användare gör så”, StackRox exec sa.
Sårbarhet lagas två gånger nu
Denna sårbarhet, spårade som CVE-2019-11246, upptäcktes av Charles Holmes av Atredis Partner, och var finns som en del av en säkerhetsgranskning som sponsras av Native Cloud Computing Foundation.
“Denna sårbarhet härrör från ofullständig rättelser för tidigare lämnat sårbarhet (CVE-2019-1002101),” Wei sade, pekande på en sårbarhet först fixa i Mars detta år.
“Detaljerna för denna sårbarhet är mycket liknande till CVE-2019-1002101. Den ursprungliga rättningen för att fråga var ofullständig och en ny utnyttja metoden upptäcktes,” Smith sa.
Företag och utvecklare som driver det egna Kubernetes installationer rekommenderas att uppgradera kubectl och Kubernetes versioner 1.12.9, 1.13.6, eller 1.14.2 eller senare.
Kör kubectl version –klient och om det inte säger klient version 1.12.9, 1.13.6, eller 1.14.2 eller nyare, du kör en sårbar version.
Google Cloud k8s också utsatta
I ett säkerhetsmeddelande publicerad idag, Google Cloud admins sa att “alla Google Kubernetes Motor (GKE) gcloud versioner påverkas av detta problem, och vi rekommenderar att du uppgraderar till den senaste patchen version av gcloud när den blir tillgänglig.”
För närvarande är denna patch är inte ute ännu.
“En kommande patch versionen kommer att innehålla en begränsning för detta problem,” säger Google. Google Cloud kunder uppmanas att hålla ett öga ut för de verktyg ändringsloggen för kubectl-relaterade korrigeringar.
Mer sårbarhet rapporter:
Mozilla fläckar Firefox zero-day missbrukas i wildMozilla fixar andra Firefox zero-day utnyttjas i det vilda
Yubico för att ersätta utsatta YubiKey FIPS säkerhet keysOpenSSH får skydd mot attacker som Spectre, Härdsmälta, och RambleedGoogle skjuter Boet cam uppdatera för att förhindra att tidigare ägare spionera på nya buyersDisgruntled bevakningsföretag avslöjar noll dagar i Facebook WordPress pluginsKRACK attack: Här är hur företagen hanterar CNETTopp 10-app sårbarheter: Unpatched plugins och tillägg dominera TechRepublic
Relaterade Ämnen:
Cloud
Säkerhet-TV
Hantering Av Data
CXO
Datacenter