ಕುಬರ್ನೆಟೀಸ್ ಅತ್ಯಂತ ಜನಪ್ರಿಯ ಮೋಡದ ಧಾರಕ ವ್ಯವಸ್ಥೆಯಾಗಿದೆ. ಆದ್ದರಿಂದ ವಾಸ್ತವವಾಗಿ ಅವರ ಮೊದಲ ಪ್ರಮುಖ ಭದ್ರತಾ ನ್ಯೂನತೆಯನ್ನು ಕಂಡುಹಿಡಿಯುವವರೆಗೆ ಇದು ಕೇವಲ ಸಮಯದ ವಿಷಯವಾಗಿತ್ತು.
ಮತ್ತು ಅದು ಇತ್ತೀಚೆಗೆ ಕುಬರ್ನೆಟೀಸ್ನ ಮೊದಲ ಪ್ರಮುಖ ಭದ್ರತಾ ನ್ಯೂನತೆಯನ್ನು ಸಿವಿಇ-2018-1002105 ಅಡಿಯಲ್ಲಿ ಬಿಡುಗಡೆ ಮಾಡಲಾಗಿದೆ, ಇದನ್ನು ಸವಲತ್ತು ಹೆಚ್ಚಿಸುವ ವೈಫಲ್ಯ ಎಂದೂ ಕರೆಯುತ್ತಾರೆ.
ಕುಬರ್ನೆಟೀಸ್ನಲ್ಲಿನ ಈ ಪ್ರಮುಖ ನ್ಯೂನತೆಯು ಒಂದು ಸಮಸ್ಯೆಯಾಗಿದೆ ಏಕೆಂದರೆ ಇದು ನಿರ್ಣಾಯಕ ಸಿವಿಎಸ್ಎಸ್ 9.8 ಭದ್ರತಾ ರಂಧ್ರವಾಗಿದೆ. ಮೊದಲ ಪ್ರಮುಖ ಕುಬರ್ನೆಟೀಸ್ ಭದ್ರತಾ ನ್ಯೂನತೆಯ ಸಂದರ್ಭದಲ್ಲಿ.
ದೋಷ ವಿವರಗಳು
ವಿಶೇಷವಾಗಿ ವಿನ್ಯಾಸಗೊಳಿಸಲಾದ ವಿನಂತಿಯ ನೆಟ್ವರ್ಕ್ನೊಂದಿಗೆ, ಯಾವುದೇ ಬಳಕೆದಾರರು ಸಂಪರ್ಕವನ್ನು ಸ್ಥಾಪಿಸಬಹುದು ಅಪ್ಲಿಕೇಶನ್ ಪ್ರೋಗ್ರಾಮಿಂಗ್ ಇಂಟರ್ಫೇಸ್ ಸರ್ವರ್ನಿಂದ (API) ಕುಬೆರ್ನೆಟ್ಸ್ ಬ್ಯಾಕೆಂಡ್ ಸರ್ವರ್ಗೆ.
ಸ್ಥಾಪಿಸಿದ ನಂತರ, ಆಕ್ರಮಣಕಾರರು ಆ ಬ್ಯಾಕೆಂಡ್ಗೆ ನೇರವಾಗಿ ನೆಟ್ವರ್ಕ್ ಸಂಪರ್ಕದ ಮೂಲಕ ಅನಿಯಂತ್ರಿತ ವಿನಂತಿಗಳನ್ನು ಕಳುಹಿಸಬಹುದು ಇದರಲ್ಲಿ ಎಲ್ಲಾ ಸಮಯದಲ್ಲೂ ಉದ್ದೇಶವು ಆ ಸರ್ವರ್ ಆಗಿದೆ.
ಈ ವಿನಂತಿಗಳನ್ನು TLS ರುಜುವಾತುಗಳೊಂದಿಗೆ ದೃ ated ೀಕರಿಸಲಾಗಿದೆ (ಸಾರಿಗೆ ಲೇಯರ್ ಭದ್ರತೆ) ಕುಬರ್ನೆಟೆಸ್ API ಸರ್ವರ್ನ.
ಇನ್ನೂ ಕೆಟ್ಟದಾಗಿದೆ, ಡೀಫಾಲ್ಟ್ ಕಾನ್ಫಿಗರೇಶನ್ನಲ್ಲಿ, ಎಲ್ಲಾ ಬಳಕೆದಾರರು (ದೃ ated ೀಕರಿಸಿದ್ದಾರೆ ಅಥವಾ ಇಲ್ಲ) ಎಪಿಐ ಆವಿಷ್ಕಾರ ಕರೆಗಳನ್ನು ಚಲಾಯಿಸಬಹುದು ಅದು ಆಕ್ರಮಣಕಾರರಿಂದ ಈ ಸವಲತ್ತು ಹೆಚ್ಚಿಸಲು ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ.
ಆದ್ದರಿಂದ, ಆ ರಂಧ್ರವನ್ನು ತಿಳಿದಿರುವ ಯಾರಾದರೂ ತಮ್ಮ ಕುಬರ್ನೆಟೆಸ್ ಕ್ಲಸ್ಟರ್ನ ಆಜ್ಞೆಯನ್ನು ತೆಗೆದುಕೊಳ್ಳುವ ಅವಕಾಶವನ್ನು ಪಡೆಯಬಹುದು.
ಈ ದುರ್ಬಲತೆಯನ್ನು ಈ ಹಿಂದೆ ಬಳಸಲಾಗಿದೆಯೇ ಎಂದು ಕಂಡುಹಿಡಿಯಲು ಈ ಸಮಯದಲ್ಲಿ ಸುಲಭವಾದ ಮಾರ್ಗಗಳಿಲ್ಲ.
ಸ್ಥಾಪಿತ ಸಂಪರ್ಕದ ಮೂಲಕ ಅನಧಿಕೃತ ವಿನಂತಿಗಳನ್ನು ಮಾಡಿದಂತೆ, ಅವು ಕುಬರ್ನೆಟೆಸ್ API ಸರ್ವರ್ ಆಡಿಟ್ ಲಾಗ್ಗಳಲ್ಲಿ ಅಥವಾ ಸರ್ವರ್ ಲಾಗ್ನಲ್ಲಿ ಗೋಚರಿಸುವುದಿಲ್ಲ.
ಕುಬೆಲೆಟ್ ಲಾಗ್ಗಳು ಅಥವಾ ಒಟ್ಟು API ಸರ್ವರ್ನಲ್ಲಿ ವಿನಂತಿಗಳು ಗೋಚರಿಸುತ್ತವೆ, ಆದರೆ ಅವುಗಳನ್ನು ಕುಬರ್ನೆಟೆಸ್ API ಸರ್ವರ್ ಮೂಲಕ ಸರಿಯಾಗಿ ಅಧಿಕೃತ ಮತ್ತು ಪ್ರಾಕ್ಸಿ ವಿನಂತಿಗಳಿಂದ ಪ್ರತ್ಯೇಕಿಸಲಾಗಿದೆ.
ನಿಂದನೆ ಕುಬರ್ನೆಟೀಸ್ನಲ್ಲಿ ಈ ಹೊಸ ದುರ್ಬಲತೆ ಇದು ಲಾಗ್ಗಳಲ್ಲಿ ಸ್ಪಷ್ಟವಾದ ಕುರುಹುಗಳನ್ನು ಬಿಡುವುದಿಲ್ಲ, ಆದ್ದರಿಂದ ಈಗ ಕುಬರ್ನೆಟೀಸ್ ದೋಷವನ್ನು ಬಹಿರಂಗಪಡಿಸಲಾಗಿದೆ, ಅದನ್ನು ಬಳಸುವವರೆಗೆ ಇದು ಕೇವಲ ಸಮಯದ ವಿಷಯವಾಗಿದೆ.
ಬೇರೆ ರೀತಿಯಲ್ಲಿ ಹೇಳುವುದಾದರೆ, ರೆಡ್ ಹ್ಯಾಟ್ ಹೇಳಿದರು:
ಸವಲತ್ತು ಹೆಚ್ಚಳದ ನ್ಯೂನತೆಯು ಯಾವುದೇ ಅನಧಿಕೃತ ಬಳಕೆದಾರರಿಗೆ ಕುಬರ್ನೆಟೆಸ್ ಪಾಡ್ನಲ್ಲಿ ಚಾಲನೆಯಲ್ಲಿರುವ ಯಾವುದೇ ಕಂಪ್ಯೂಟ್ ನೋಡ್ನಲ್ಲಿ ಪೂರ್ಣ ನಿರ್ವಾಹಕರ ಸವಲತ್ತುಗಳನ್ನು ಪಡೆಯಲು ಅನುಮತಿಸುತ್ತದೆ.
ಇದು ಕೇವಲ ಕಳ್ಳತನ ಅಥವಾ ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಅನ್ನು ಚುಚ್ಚುವ ಪ್ರಾರಂಭವಲ್ಲ, ಇದು ಸಂಸ್ಥೆಯ ಫೈರ್ವಾಲ್ನಲ್ಲಿ ಅಪ್ಲಿಕೇಶನ್ ಮತ್ತು ಉತ್ಪಾದನಾ ಸೇವೆಗಳನ್ನು ಕಡಿಮೆ ಮಾಡುತ್ತದೆ.
ಕುಬರ್ನೆಟೀಸ್ ಸೇರಿದಂತೆ ಯಾವುದೇ ಪ್ರೋಗ್ರಾಂ ದುರ್ಬಲವಾಗಿರುತ್ತದೆ. ಕುಬರ್ನೆಟೆಸ್ ವಿತರಕರು ಈಗಾಗಲೇ ಪರಿಹಾರಗಳನ್ನು ಬಿಡುಗಡೆ ಮಾಡುತ್ತಿದ್ದಾರೆ.
ರೆಡ್ ಹ್ಯಾಟ್ ಓಪನ್ಶಿಫ್ಟ್ ಕಂಟೇನರ್ ಪ್ಲಾಟ್ಫಾರ್ಮ್, ರೆಡ್ ಹ್ಯಾಟ್ ಓಪನ್ಶಿಫ್ಟ್ ಆನ್ಲೈನ್, ಮತ್ತು ರೆಡ್ ಹ್ಯಾಟ್ ಓಪನ್ಶಿಫ್ಟ್ ಡೆಡಿಕೇಟೆಡ್ ಸೇರಿದಂತೆ ಅದರ ಎಲ್ಲಾ ಕುಬರ್ನೆಟೆಸ್ ಆಧಾರಿತ ಉತ್ಪನ್ನಗಳು ಮತ್ತು ಸೇವೆಗಳು ಪರಿಣಾಮ ಬೀರುತ್ತವೆ ಎಂದು ರೆಡ್ ಹ್ಯಾಟ್ ವರದಿ ಮಾಡಿದೆ.
ಪೀಡಿತ ಬಳಕೆದಾರರಿಗೆ ಪ್ಯಾಚ್ ಮತ್ತು ಸೇವಾ ನವೀಕರಣಗಳನ್ನು Red Hat ಒದಗಿಸಲು ಪ್ರಾರಂಭಿಸಿತು.
ತಿಳಿದಿರುವಂತೆ, ಯಾರೂ ಇನ್ನೂ ಭದ್ರತಾ ಉಲ್ಲಂಘನೆಯನ್ನು ದಾಳಿ ಮಾಡಲು ಬಳಸಲಿಲ್ಲ. ಮುಖ್ಯ ವಾಸ್ತುಶಿಲ್ಪಿ ಮತ್ತು ರಾಂಚರ್ ಪ್ರಯೋಗಾಲಯದ ಸಹ-ಸಂಸ್ಥಾಪಕ ಡ್ಯಾರೆನ್ ಶೆಪರ್ಡ್ ಈ ದೋಷವನ್ನು ಕಂಡುಹಿಡಿದನು ಮತ್ತು ಕುಬರ್ನೆಟೀಸ್ ದುರ್ಬಲತೆ ವರದಿ ಮಾಡುವ ಪ್ರಕ್ರಿಯೆಯನ್ನು ಬಳಸಿಕೊಂಡು ಅದನ್ನು ವರದಿ ಮಾಡಿದನು.
ಈ ದೋಷವನ್ನು ಹೇಗೆ ಸರಿಪಡಿಸುವುದು?
ಅದೃಷ್ಟವಶಾತ್, ಈ ದೋಷದ ಪರಿಹಾರವನ್ನು ಈಗಾಗಲೇ ಬಿಡುಗಡೆ ಮಾಡಲಾಗಿದೆ.. ಇದರಲ್ಲಿ ಮಾತ್ರ ಕುಬರ್ನೆಟೆಸ್ ನವೀಕರಣವನ್ನು ಮಾಡಲು ಅವರನ್ನು ಕೇಳಲಾಗುತ್ತದೆ ಆದ್ದರಿಂದ ಅವರು ಕೆಲವು ಕುಬರ್ನೆಟೀಸ್ ಪ್ಯಾಚ್ಡ್ ಆವೃತ್ತಿಗಳಾದ v1.10.11, v1.11.5, v1.12.3, ಮತ್ತು v1.13.0-RC.1 ಅನ್ನು ಆಯ್ಕೆ ಮಾಡಬಹುದು.
ಆದ್ದರಿಂದ ನೀವು ಇನ್ನೂ ಯಾವುದೇ ಕುಬರ್ನೆಟ್ v1.0.x-1.9.x ಆವೃತ್ತಿಗಳನ್ನು ಬಳಸುತ್ತಿದ್ದರೆ, ನೀವು ಸ್ಥಿರ ಆವೃತ್ತಿಗೆ ಅಪ್ಗ್ರೇಡ್ ಮಾಡಲು ಸೂಚಿಸಲಾಗುತ್ತದೆ.
ಕೆಲವು ಕಾರಣಗಳಿಂದ ಅವರು ಕುಬರ್ನೆಟೀಸ್ ಅನ್ನು ನವೀಕರಿಸಲು ಸಾಧ್ಯವಿಲ್ಲ ಮತ್ತು ಅವರು ಈ ವೈಫಲ್ಯವನ್ನು ನಿಲ್ಲಿಸಲು ಬಯಸುತ್ತಾರೆ, ಈ ಕೆಳಗಿನ ಪ್ರಕ್ರಿಯೆಯನ್ನು ಕೈಗೊಳ್ಳುವುದು ಅವಶ್ಯಕ.
ಕುಬೆಲೆಟ್ API ಗೆ ಪೂರ್ಣ ಪ್ರವೇಶವನ್ನು ಹೊಂದಿರದ ಬಳಕೆದಾರರಿಗಾಗಿ ನೀವು ಸರ್ವರ್ ಅಗ್ರಿಗೇಟ್ API ಅನ್ನು ಬಳಸುವುದನ್ನು ನಿಲ್ಲಿಸಬೇಕು ಅಥವಾ ಪಾಡ್ ಎಕ್ಸಿಕ್ / ಲಗತ್ತಿಸಿ / ಪೋರ್ಟ್ ಫಾರ್ವರ್ಡ್ ಅನುಮತಿಗಳನ್ನು ತೆಗೆದುಹಾಕಬೇಕು.
ದೋಷವನ್ನು ಸರಿಪಡಿಸಿದ ಗೂಗಲ್ ಸಾಫ್ಟ್ವೇರ್ ಎಂಜಿನಿಯರ್ ಜೋರ್ಡಾನ್ ಲಿಗ್ಗಿಟ್, ಆ ಕ್ರಮಗಳು ಹಾನಿಕಾರಕವಾಗಬಹುದು ಎಂದು ಹೇಳಿದರು.
ಆದ್ದರಿಂದ ಈ ಭದ್ರತಾ ನ್ಯೂನತೆಯ ವಿರುದ್ಧದ ಏಕೈಕ ನಿಜವಾದ ಪರಿಹಾರವೆಂದರೆ ಅನುಗುಣವಾದ ಕುಬರ್ನೆಟ್ ನವೀಕರಣವನ್ನು ನಿರ್ವಹಿಸುವುದು.