آسیبپذیری بحرانی افزایش دسترسی در Kubernetes برطرف شد.
منبع : مرکز مدیریت راهبردی افتا
آسیبپذیری بحرانی افزایش دسترسی در Kubernetes برطرف شد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، بهتازگی یک آسیبپذیری بحرانی افزایش دسترسی در Kubernetes کشف شدهاست. Kubernetes یک سیستم اجرا و مدیریت کانتینتر منبعباز است که به کاربران اجازه میدهد تا اجرا و پیادهسازی برنامههای متمرکز را بهطور خودکار انجام دهند.
آسیبپذیری بحرانی کشفشده دارای شناسه CVE-۲۰۱۸-۱۰۰۲۱۰۵ است که نمره CVSS ۹.۸ به آن تخصیص یافتهاست. مهاجم با ارسال یک درخواست دستکاری شده به سرور هدف، میتواند سطح دسترسی خود را افزایش دهد. از این طریق، مهاجم به سرور API متصل میشود و میتواند ارتباط مستقیم با سرور backend برقرار کند.
یکی از اعضای تیم امنیتی محصول Kubernetes اعلام کردهاست که راهحل آسانی برای شناسایی نفوذ به Kubernetes وجود ندارد، به این دلیل که درخواستهای نامجاز در لاگ سرور یا API ظاهر نمیشوند و قابل تشخیص نیستند.
حفره امنیتی کشفشده نسخههای ۱,۰.x-۱.۹.x، ۱.۱۰.۰-۱.۱۰.۱۰، ۱.۱۱.۰-۱.۱۱.۴ و ۱.۱۲.۰-۱.۱۲.۲ را تحتتاثیر قرار میدهد. این نقص در نسخههای ۱.۱۰.۱۱، ۱.۱۱.۵، ۱.۱۲.۳ و ۱.۱۳.۰-rc.۱ رفع شدهاست.