પ્રથમ કુબર્નીટીસ સુરક્ષા ખામી શોધી કા .વામાં આવી છે

કુબર્નેટીસ અત્યાર સુધીની સૌથી લોકપ્રિય ક્લાઉડ કન્ટેનર સિસ્ટમ બની. તેથી ખરેખર તેની પ્રથમ મોટી સુરક્ષા ખામી શોધી ન હતી ત્યાં સુધી તે સમયની જ વાત હતી.

અને તેથી તે હતું, કારણ કે તાજેતરમાં કુબર્નેટીસમાં પહેલો મોટો સુરક્ષા ખામી સીવીઇ -2018-1002105 હેઠળ પ્રકાશિત થયો હતો, વિશેષાધિકાર વૃદ્ધિ નિષ્ફળતા તરીકે પણ ઓળખાય છે.

કુબર્નેટીસમાં આ મુખ્ય ખામી એ એક સમસ્યા છે કારણ કે તે એક નિર્ણાયક સીવીએસએસ 9.8 સુરક્ષા છિદ્ર છે. પ્રથમ મુખ્ય કુબર્નેટીસ સુરક્ષા ખામીની ઘટનામાં.

ભૂલ વિગતો

ખાસ રચાયેલ વિનંતી નેટવર્ક સાથે, કોઈપણ વપરાશકર્તા જોડાણ સ્થાપિત કરી શકે છે એપ્લિકેશન પ્રોગ્રામિંગ ઇંટરફેસ સર્વરમાંથી (એપીઆઈ) બેકએન્ડ સર્વર પર કુબર્નીટ્સ.

એકવાર સ્થાપિત થઈ ગયા પછી કોઈ હુમલાખોર સીધા તે બેકએન્ડ પર નેટવર્ક કનેક્શન પર મનસ્વી વિનંતીઓ મોકલી શકે છે જેમાં દરેક સમયે ઉદ્દેશ્ય તે સર્વર હોય છે.

આ વિનંતીઓ TLS ઓળખપત્રો સાથે પ્રમાણિત છે (ટ્રાન્સપોર્ટ લેયર સિક્યુરિટી) કુબર્નીટ્સ API સર્વરની.

સૌથી ખરાબ, ડિફ ,લ્ટ રૂપરેખાંકનમાં, બધા વપરાશકર્તાઓ (પ્રમાણિત છે કે નહીં) API શોધ ક callsલ્સ ચલાવી શકે છે જે હુમલાખોર દ્વારા આ વિશેષાધિકૃત વૃદ્ધિને મંજૂરી આપે છે.

તો પછી, તે છિદ્ર જાણે છે તે કોઈપણ તેમના કુબર્નીટીસ ક્લસ્ટરનો આદેશ લેવાની તક લઈ શકે છે.

અત્યારે આ નબળાઇનો ઉપયોગ કરવામાં આવ્યો હતો કે નહીં તે શોધવાની કોઈ સરળ રીત નથી.

જેમ કે સ્થાપિત કનેક્શન પર અનધિકૃત વિનંતીઓ કરવામાં આવે છે, તે કુબર્નીટ્સ API સર્વર auditડિટ લsગ્સ અથવા સર્વર લ logગમાં દેખાતી નથી.

વિનંતીઓ કુબ્લેટ લsગ્સ અથવા એકંદર API સર્વરમાં દેખાય છે, પરંતુ તેઓ કુબર્નીટ્સ API સર્વર દ્વારા યોગ્ય રીતે અધિકૃત અને પ્રોક્સી વિનંતીઓથી અલગ પડે છે.

ગા ળ કુબેરનેટીસમાં આ નવી નબળાઈ તે લોગમાં સ્પષ્ટ નિશાનો છોડશે નહીં, તેથી હવે જ્યારે કુબર્નીટીસ ભૂલનો પર્દાફાશ થયો છે, તેનો ઉપયોગ થાય ત્યાં સુધી તે ફક્ત સમયની વાત છે.

બીજા શબ્દોમાં કહીએ તો, રેડ હેટે કહ્યું:

વિશેષાધિકાર વૃદ્ધિનો દોષ કોઈપણ અનધિકૃત વપરાશકર્તાને કુબર્નીટ્સ પોડમાં ચાલતા કોઈપણ કોમ્પ્યુટ નોડ પર સંપૂર્ણ સંચાલક વિશેષાધિકારો પ્રાપ્ત કરવાની મંજૂરી આપે છે.

આ માત્ર ચોરી અથવા દૂષિત કોડના ઇન્જેક્શનની શરૂઆત નથી, તે સંસ્થાના ફાયરવwલમાં એપ્લિકેશન અને ઉત્પાદન સેવાઓ પણ ઘટાડી શકે છે.

કોઈપણ કાર્યક્રમ, કુબર્નેટીસ સહિત, નબળા છે. કુબર્નીટ્સ ડિસ્ટ્રિબ્યુટર પહેલેથી જ ફિક્સ મુક્ત કરી રહ્યાં છે.

રેડ હેટે અહેવાલ આપ્યો છે કે તેના તમામ કુબર્નીટ્સ આધારિત ઉત્પાદનો અને સેવાઓ, જેમાં રેડ હેન્ડ ઓપનશિફ્ટ કન્ટેઈનર પ્લેટફોર્મ, રેડ હેટ ઓપનશિફ્ટ Onlineનલાઇન, અને રેડ હેટ ઓપનશિફ્ટ સમર્પિત અસરગ્રસ્ત છે.

રેડ હાથે અસરગ્રસ્ત વપરાશકર્તાઓને પેચો અને સેવા અપડેટ્સ પૂરા પાડવાનું શરૂ કર્યું.

જ્યાં સુધી જાણીતું છે, હજી સુધી હુમલો કરવા માટે કોઈએ સુરક્ષા ભંગનો ઉપયોગ કર્યો નથી. ડેરેન શેપાર્ડ, મુખ્ય આર્કિટેક્ટ અને રાંચર લેબોરેટરીના સહ-સ્થાપક, બગને શોધી કા .્યા અને કુબર્નીટ્સની નબળાઈની જાણ કરવાની પ્રક્રિયાની મદદથી તેનો અહેવાલ આપ્યો.

આ દોષને કેવી રીતે સુધારવો?

સદ્ભાગ્યે, આ બગ માટેનું ફિક્સ પહેલેથી જ બહાર પાડવામાં આવ્યું છે.. જેમાં ફક્ત તેઓને કુબર્નીટ્સ અપડેટ કરવાનું કહેવામાં આવે છે જેથી તેઓ કુબર્નીટ્સના પેચોવાળા કેટલાક વર્ઝન v1.10.11, v1.11.5, v1.12.3 અને v1.13.0-RC.1 પસંદ કરી શકે.

તેથી જો તમે હજી પણ કુબર્નીટીસ v1.0.x-1.9.x સંસ્કરણોમાંથી કોઈપણનો ઉપયોગ કરી રહ્યાં છો, તો ભલામણ કરવામાં આવે છે કે તમે નિશ્ચિત સંસ્કરણ પર અપગ્રેડ કરો.

જો કોઈ કારણોસર તેઓ કુબર્નીટ્સને અપડેટ કરી શકતા નથી અને તેઓ આ નિષ્ફળતાને રોકવા માંગે છે, તે નીચેની પ્રક્રિયા હાથ ધરવા જરૂરી છે.

તમારે સર્વર એગ્રિગેટ્સ API નો ઉપયોગ કરવાનું બંધ કરવું જોઈએ અથવા વપરાશકર્તાઓ માટે પોડ એક્ઝિક્યુટ / જોડાણ / પોર્ટફોરવર્ડ પરમિશનને દૂર કરવી જોઈએ કે જેમણે કુબેલેટ API પર પૂર્ણ accessક્સેસ ન હોવી જોઈએ.

ગૂગલ સ softwareફ્ટવેર એન્જિનિયર, જોર્ડન લિગિગિટે, જેણે ભૂલને ઠીક કરી હતી, જણાવ્યું હતું કે આ પગલાં કદાચ હાનિકારક હશે.

તેથી આ સુરક્ષા ખામી સામે એકમાત્ર વાસ્તવિક ઉપાય તે મુજબ કુબર્નીટ્સને અપડેટ કરવાનો છે.