Kubernetes爆重大漏洞！不法人士可取得管理員權限，竊取機敏資料、癱瘓企業應用

近期Kubernetes爆出資安漏洞，Kubernetes產品安全團隊表示，近日在Kubernetes API Server內存在權限擴張漏洞，發現此漏洞的開發者為Rancher共同創辦人兼首席架構師Darren Shepherd。

目前Kubernetes開發團隊已經發布V1.10.11、V1.11.5及V1.12.3，以解決該漏洞帶來的風險。參與Kubernetes安全團隊的Google高級工程師Jordan Liggitt建議，在叢集內執行先前版本Kubernetes的企業用戶，得儘速擇一版本進行更新。

此漏洞編號為CVE-2018-1002105，讓攻擊者可以發送特殊的系統請求，經由Kubernetes API Server，與企業內部後端伺服器進行連線，藉由取得Kubernetes API Server的認證，攻擊者就能利用既有連線，任意向後端伺服器發送請求。

紅帽雲端平臺副總裁Ashesh Badani表示，此權限擴張漏洞的影響非常重大，可讓不法人士在任何運算節點、Kubernetes Pod取得管理員權限，駭客可以盜取機敏資料、注入惡意程式碼，或者癱瘓企業正式環境內的應用程式。而紅帽使用Kubernetes作為核心調度引擎的產品線，包含容器平臺OpenShift、OpenShift Online、OpenShift Dedicated皆受該漏洞影響。他表示，紅帽已經開始進行修補工作，釋出更新檔，並且上傳給受該漏洞影響的企業用戶。