В Kubernetes 1.13 устранена критическая уязвимость, позволяющая поднять свои привилегии

Сoстoялся рeлиз плaтфoрмы oркeстрoвки кoнтeйнeрoв Kubernetes 1.13, пoзвoляющeй кaк eдиным цeлым упрaвлять клaстeрoм Linux-кoнтeйнeрoв, сoздaнныx с испoльзoвaниeм тaкиx инструмeнтaриeв кaк Docker и rkt. В нoвoй вeрсии устрaнeнa критичeскaя уязвимoсть (CVE-2018-1002105), пoзвoляющaя любoму пoльзoвaтeлю пoлучить пoлный кoнтрoль вслед кластером изолированных контейнеров. Проблема равно как устранена в обновлениях 1.10.11, 1.11.5 и 1.12.3. Чтобы совершения атаки достаточно отправить помощью API специально оформленный запрос определения доступных бэкентов (discovery-задание). Из-за ошибки данный гаврик запросов оставляет открытым сетевое союз, что позволяет использовать сервер API (kube-apiserver) в качестве посредника интересах отправки запросов любому бэкенду, воспользовавшись соединением, установленным с сервером API. Под лад, перенаправляемые через подобные соединения требования будут обработаны бэкендом как внутренние требования от сервера API, отправленные с использованием параметров аутентификации сервера API. Вдоль умолчанию все аутентифицированные и неаутентифицированные пользователи Kubernetes имеют риск отправки через API discovery-запросов, которых хватит для совершения атаки. Таким образом, все равно кто непривилегированный пользователь Kubernetes, имеющий путь к API, может получить полный контроль вслед за всей инфраструктурой, например, отправив радиозапрос. Ant. ответ для выполнения своего кода получай хосте. Кроме получения контроля следовать инфраструктурой Kubernetes уязвимость также может существовать для целевых атак на клиентов выше манипуляцию размещёнными в облаке клиентскими сервисами. Задача проявляется во всех версиях Kubernetes, начиная с релиза 1.0. Во всем администраторам Kubernetes рекомендуется срочно оживить свои системы до актуальных выпусков, а равным образом провести аудит системных логов держи предмет возможной вредоносной активности. На особицу отмечается, что в логах Kubernetes контратака с использованием неавторизированных запросов никак приставки не- фиксируется, поэтому определить была ли компрометация дозволяется лишь по косвенным признакам. Основные новшества Kubernetes 1.13: Стабилизирован интерфейс CSI (Container Storage Interface), позволяющий учреждать плагины для поддержки различных систем хранения. CSI предоставляет одиночный интерфейс для выделения места, прикрепления и монтирования хранилищ, дающий возможнсть сдавать плагины для интеграции с различными службами хранения без участия необходимости внесения изменений в кодовую базу Kubernetes; В соответствии с умолчанию задействован DNS-сервер CoreDNS, развиваемый по-под эгидой организации Linux Foundation. CoreDNS написан бери языке Go и примечателен гибкой архитектурой возьми базе подключаемых плагинов. Например, посредством плагины реализованы такие специфичные функции, что обнаружение сервисов Kubernetes, накопление метрик ради системы мониторинга Prometheus и интеграция с системой хранения конфигурации etcd; Стабилизирован kubeadm, неглубокий интерфейс для управления кластером Kubernetes, позволяющий совершать такие операции как создание и раскручивание кластера на имеющемся оборудовании, юстирование базовых компонентов Kubernete, подключение и смахивание узлов, выполнение операций обновления; Представлен эмпирический интерфейс для создания плагинов в (видах интеграции со сторонними системами мониторинга; Стабилизирован услуги Kubelet Device Plugin Registration, предоставляющий деньги для доступа к Kubelet из плагинов; Стабилизирован выравниватель распределения контейнеров TAVS (Topology Aware Volume Scheduling), учитывающий топологию разделов Pod (учитывает ограничения, установленные чтобы узлов и зон); Перешли на стадию бета-тестирвоания APIServer DryRun, майна Kubectl Diff и возможность использования локальных (raw) блочных устройств в качестве хранилищ постоянных данных (Persistent Volume Source). Напомним, чего код Kubernetes написан на языке Go и распространяется перед лицензией Apache 2.0. Проект изначально был создан компанией Google, а затем переведён на независимую площадку, курируемую организацией Linux Foundation. Вагон позиционируется как развиваемое сообществом универсальное вывод, не привязанное к отдельным системам и способное трудиться с любыми приложениями в любых облачных окружениях. Предоставляются функции в (видах развёртывания и управления инфраструктурой, такие словно ведение базы DNS, балансировка нагрузки, франко контейнеров по узлам кластера (передвижение контейнеров в зависимости от изменения нагрузки и потребностей в сервисах), ревизия работоспособности на уровне приложений, отдел аккаунтами, обновление и динамическое масштабирование работающего кластера, за исключением. Ant. с его остановки. Имеется поддержка динамической миграции приложений, угоду кому) хранения данных которых могут привыкать как локальные хранилища, так и сетевые системы хранения. Очаг: http://www.opennet.ru/opennews/art.shtml?num=49722