近期Kubernetes爆出資安漏洞,Kubernetes產品安全團隊表示,近日在Kubernetes API Server內存在權限擴張漏洞,發現此漏洞的開發者為Rancher共同創辦人兼首席架構師Darren Shepherd。

目前Kubernetes開發團隊已經發布V1.10.11、V1.11.5及V1.12.3,以解決該漏洞帶來的風險。參與Kubernetes安全團隊的Google高級工程師Jordan Liggitt建議,在叢集內執行先前版本Kubernetes的企業用戶,得儘速擇一版本進行更新。

此漏洞編號為CVE-2018-1002105,讓攻擊者可以發送特殊的系統請求,經由Kubernetes API Server,與企業內部後端伺服器進行連線,藉由取得Kubernetes API Server的認證,攻擊者就能利用既有連線,任意向後端伺服器發送請求。

紅帽雲端平臺副總裁Ashesh Badani表示,此權限擴張漏洞的影響非常重大,可讓不法人士在任何運算節點、Kubernetes Pod取得管理員權限,駭客可以盜取機敏資料、注入惡意程式碼,或者癱瘓企業正式環境內的應用程式。而紅帽使用Kubernetes作為核心調度引擎的產品線,包含容器平臺OpenShift、OpenShift Online、OpenShift Dedicated皆受該漏洞影響。他表示,紅帽已經開始進行修補工作,釋出更新檔,並且上傳給受該漏洞影響的企業用戶。


Advertisement

更多 iThome相關內容