কুবারনেটস এখন পর্যন্ত সর্বাধিক জনপ্রিয় মেঘ ধারক সিস্টেম হয়ে উঠেছে। তাই আসলে এটি তার প্রথম প্রধান সুরক্ষা ত্রুটি আবিষ্কার হওয়া অবধি কেবল সময়ের বিষয় ছিল।
এবং তাই এটি ছিল, কারণ সম্প্রতি কুবেরনেটসে প্রথম প্রধান সুরক্ষা ত্রুটি সিভিই-2018-1002105 এর অধীনে প্রকাশিত হয়েছিল, সুবিধাগুলি বৃদ্ধি ব্যর্থতা হিসাবে পরিচিত।
কুবারনেটসের এই বড় ত্রুটিটি একটি সমস্যা কারণ এটি একটি গুরুত্বপূর্ণ সিভিএসএস 9.8 সুরক্ষা গর্ত। প্রথম বড় কুবেরনেটস সুরক্ষার ত্রুটি ঘটলে।
ত্রুটির বিবরণ
একটি বিশেষভাবে নকশা করা অনুরোধ নেটওয়ার্কের সাথে, যে কোনও ব্যবহারকারী কোনও সংযোগ স্থাপন করতে পারেন অ্যাপ্লিকেশন প্রোগ্রামিং ইন্টারফেস সার্ভার থেকে (এপিআই) একটি ব্যাকএন্ড সার্ভারে কুবারনেটস।
একবার প্রতিষ্ঠিত, কোনও আক্রমণকারী সরাসরি সেই ব্যাকএন্ডে নেটওয়ার্ক সংযোগের মাধ্যমে নির্বিচারে অনুরোধ পাঠাতে পারে যা সর্বকালে উদ্দেশ্য যে সার্ভার।
এই অনুরোধগুলি টিএলএস শংসাপত্রগুলির সাথে প্রমাণীকৃত (পরিবহন স্তর সুরক্ষা) কুবারনেটস এপিআই সার্ভার থেকে।
তীব্রতর হলেও, ডিফল্ট কনফিগারেশনে, সমস্ত ব্যবহারকারী (প্রমাণীকৃত বা না) এআইপিআই আবিষ্কার কল চালাতে পারে যা আক্রমণকারী দ্বারা এই বিশেষাধিকার বাড়ানোর অনুমতি দেয়।
যার ফলে, যে কেউ এই গর্তটি জানে তারা তাদের কুবেরনেটস ক্লাস্টারের কমান্ড নেওয়ার সুযোগ নিতে পারে।
এই দুর্বলতা আগে ব্যবহার করা হয়েছিল কিনা তা সনাক্ত করার জন্য এই মুহূর্তে কোনও সহজ উপায় নেই।
যেমন কোনও প্রতিষ্ঠিত সংযোগের উপর অননুমোদিত অনুরোধগুলি করা হয়, সেগুলি কুবারনেটস এপিআই সার্ভার অডিট লগ বা সার্ভার লগতে উপস্থিত হয় না।
অনুরোধগুলি সামগ্রিক এপিআই সার্ভার বা কুবেলেট লগগুলিতে উপস্থিত হবে, তবে তারা কুবারনেটস এপিআই সার্ভারের মাধ্যমে সঠিকভাবে অনুমোদিত এবং প্রক্সি অনুরোধগুলি থেকে পৃথক।
আপত্তি কুবেরনেটসে এই নতুন দুর্বলতা এটি লগগুলিতে সুস্পষ্ট চিহ্নগুলি ছাড়বে না, সুতরাং এখন যে কুবেরনেটস বাগটি উন্মুক্ত হয়েছে, এটি ব্যবহার না হওয়া অবধি এটি কেবল সময়ের বিষয়।
অন্য কথায়, রেড হ্যাট বলেছেন:
সুবিধাগুলি বৃদ্ধির ত্রুটি কোনও অননুমোদিত ব্যবহারকারীকে কোনও কুবেরনেট পোদে চলমান কোনও কম্পিউট নোডে পূর্ণ প্রশাসকের সুযোগ সুবিধা পেতে দেয়।
এটি কেবল চুরি বা দূষিত কোড ইনজেকশনের খোলার নয়, এটি কোনও সংস্থার ফায়ারওয়ালের মধ্যে অ্যাপ্লিকেশন এবং উত্পাদন পরিষেবাগুলি হ্রাস করতে পারে।
কুবারনেটস সহ যে কোনও প্রোগ্রাম দুর্বল। কুবেরনেট বিতরণকারীরা ইতিমধ্যে সংশোধনগুলি প্রকাশ করছে।
রেড হ্যাট জানিয়েছে যে রেড হ্যাট ওপেনশিফ্ট কনটেইনার প্ল্যাটফর্ম, রেড হ্যাট ওপেনশিফট অনলাইন, এবং রেড হ্যাট ওপেনশিফট ডেডিকেটেড সহ তার সমস্ত কুবেরনেটস-ভিত্তিক পণ্য এবং পরিষেবাগুলি প্রভাবিত হয়েছে।
রেড হ্যাট প্রভাবিত ব্যবহারকারীদের জন্য প্যাচ এবং পরিষেবা আপডেট সরবরাহ শুরু করে।
যতদূর জানা যায়, কেউ এখনও আক্রমণে সুরক্ষা লঙ্ঘন করেনি। প্রধান আর্কিটেক্টর এবং রঞ্চার ল্যাবরেটরির সহ-প্রতিষ্ঠাতা ড্যারেন শেপার্ড বাগটি আবিষ্কার করেছেন এবং কুবেরনেটস দুর্বলতার প্রতিবেদন প্রক্রিয়াটি ব্যবহার করে এটি রিপোর্ট করেছেন।
এই দোষটি কীভাবে সংশোধন করবেন?
ভাগ্যক্রমে, এই বাগের জন্য একটি সমাধান ইতিমধ্যে প্রকাশিত হয়েছে।। যা শুধুমাত্র তাদের একটি কুবারনেটস আপডেট করতে বলা হয় যাতে তারা কিছু কুবারনেটস প্যাচ করা সংস্করণগুলি v1.10.11, v1.11.5, v1.12.3, এবং v1.13.0-RC.1 চয়ন করতে পারে।
সুতরাং আপনি যদি এখনও কুবারনেটস v1.0.x-1.9.x সংস্করণ ব্যবহার করেন তবে আপনাকে একটি নির্দিষ্ট সংস্করণে আপগ্রেড করার পরামর্শ দেওয়া হচ্ছে।
যদি কোনও কারণে তারা কুবারনেটস আপডেট করতে না পারে এবং তারা এই ব্যর্থতাটি থামাতে চায়, তাদের নিম্নলিখিত প্রক্রিয়াটি চালানো দরকার।
আপনার সার্ভার অগ্রিগেটস এপিআই ব্যবহার বন্ধ করা উচিত বা যে ব্যবহারকারীদের কুবেলেট এপিআইতে সম্পূর্ণ অ্যাক্সেস থাকা উচিত নয় তাদের পড এক্সিকিউটিভ / সংযুক্তি / পোর্টফোরওয়ার্ড অনুমতিগুলি সরিয়ে ফেলা উচিত।
গুগল সফটওয়্যার ইঞ্জিনিয়ার জর্ডান লিগজিট, যিনি বাগটি স্থির করেছেন, বলেছিলেন যে এই পদক্ষেপগুলি সম্ভবত ক্ষতিকারক হবে।
সুতরাং এই সুরক্ষা ত্রুটির বিরুদ্ধে একমাত্র আসল সমাধানটি সম্পর্কিত কুবারনেটস আপডেট সম্পাদন করা।