پایان خطر افزایش دسترسی در Kubernetes

آسیب‌پذیری بحرانی افزایش دسترسی در Kubernetes برطرف شد.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، به‌تازگی یک آسیب‌پذیری بحرانی افزایش دسترسی در Kubernetes کشف شده‌است. Kubernetes یک سیستم اجرا و مدیریت کانتینتر منبع‌باز است که به کاربران اجازه می‌دهد تا اجرا و پیاده‌سازی برنامه‌های متمرکز را به‌طور خودکار انجام دهند.

آسیب‌پذیری بحرانی کشف‌شده دارای شناسه CVE-۲۰۱۸-۱۰۰۲۱۰۵ است که نمره CVSS ۹.۸ به آن تخصیص یافته‌است. مهاجم با ارسال یک درخواست دست‌کاری شده به سرور هدف، می‌تواند سطح دسترسی خود را افزایش دهد. از این طریق، مهاجم به سرور API متصل می‌شود و می‌تواند ارتباط مستقیم با سرور backend برقرار کند.

یکی از اعضای تیم امنیتی محصول Kubernetes اعلام کرده‌است که راه‌حل آسانی برای شناسایی نفوذ به Kubernetes وجود ندارد، به این دلیل که درخواست‌های نامجاز در لاگ سرور یا API ظاهر نمی‌شوند و قابل تشخیص نیستند.

حفره امنیتی کشف‌شده نسخه‌های ۱,۰.x-۱.۹.x، ۱.۱۰.۰-۱.۱۰.۱۰، ۱.۱۱.۰-۱.۱۱.۴ و ۱.۱۲.۰-۱.۱۲.۲ را تحت‌تاثیر قرار می‌دهد. این نقص در نسخه‌های ۱.۱۰.۱۱، ۱.۱۱.۵، ۱.۱۲.۳ و ۱.۱۳.۰-rc.۱ رفع شده‌است.