Kubernetes konteyner düzenleme sisteminde bu hafta bulunan güvenlik açığı, kullanıcıların küme genelinde özel kaynakları okumalarına, değiştirmelerine veya silmelerine izin verir.
CVE-2019-11247 olarak tanımlan güvenlik açığı, özel kaynaklara yanlış kapsamda erişim sağlayan bir API sunucusundan kaynaklanmaktadır. Spesifik olarak, istek, kaynak ad alanlıymış gibi yapılırsa, kullanıcılara kümelenmiş bir özel kaynağa erişim izni verilir.
Kubernetes’den Joel Smith, “Bu şekilde erişilen kaynağa ilişkin yetkiler, ad alanındaki (namespaces) rol ve rol bağlamaları kullanılarak uygulanır” dedi.
Bu güvenlik açığı nedeniyle, yalnızca bir ad alanındaki bir kaynağa erişimi olan bir kullanıcı küme kapsamındaki kaynağı (ad alanı rolü ayrıcalıklarına göre) oluşturabilir, görüntüleyebilir veya silebilir.
StackRox’a göre, Özel Kaynak Tanımları-Custom Resource Definitions (CRD) kullanmayan kümeler hatadan etkilenmez. Ancak, CRD’ler birçok Kubernetes yerel projesinin kritik bir bileşeni olduğundan, birçok kullanıcının etkilenmesi muhtemeldir.
Kubernetes RBAC olmadan çalışan kümeler de etkilenmez, ancak Kubernetes RBAC kullanılmazsa, bu güvenlik açığından daha büyük bir risk oluşturur.
İkinci güvenlik sorunu, CVE-2019-11249 olaraktanımlanır ve diğer iki güvenlik açığı için CVE-2019-1002101 ve CVE-2019-11246 gibi iki güvenlik açığı için tamamlanmamış düzeltmelerden ve kubectl cp potansiyel dizin geçişinden oluşur.
Bu güvenlik açığı, istemci kubectl cp işlemini kullandığında kötü amaçlı bir kapsayıcının istemci bilgisayarda bir dosya oluşturulmasına veya değiştirilmesine neden oluyor. Güvenlik açığı, müşteri tarafı hatasıdır ve kullanıcı etkileşiminin istismar edilmesini gerektiriyor.
Tüm kullanıcılara, tüm Kubernetes kümelerini ve kubectl istemcilerini Kubernetes 1.13.9, 1.14.5 ve 1.15.2 gibi yamalı bir sürüme yükseltmeleri önerilir.
securityweek.com