குபர்நெடிஸ் இதுவரை மிகவும் பிரபலமான கிளவுட் கொள்கலன் அமைப்பாக மாறியது. எனவே உண்மையில் அவரது முதல் பெரிய பாதுகாப்பு குறைபாடு கண்டுபிடிக்கப்படும் வரை இது ஒரு நேரம் மட்டுமே.
எனவே அது இருந்தது, ஏனெனில் சமீபத்தில் குபெர்னெட்டஸில் முதல் பெரிய பாதுகாப்பு குறைபாடு சி.வி.இ-2018-1002105 இன் கீழ் வெளியிடப்பட்டது, சலுகை விரிவாக்க தோல்வி என்றும் அழைக்கப்படுகிறது.
குபெர்னெட்டஸில் இந்த பெரிய குறைபாடு ஒரு சிக்கலான சி.வி.எஸ்.எஸ் 9.8 பாதுகாப்பு துளை என்பதால் ஒரு சிக்கல். முதல் பெரிய குபெர்னெட்ஸ் பாதுகாப்பு குறைபாடு ஏற்பட்டால்.
பிழையின் விவரங்கள்
சிறப்பாக வடிவமைக்கப்பட்ட கோரிக்கை நெட்வொர்க் மூலம், எந்தவொரு பயனரும் ஒரு இணைப்பை நிறுவ முடியும் பயன்பாட்டு நிரலாக்க இடைமுக சேவையகத்திலிருந்து (API) ஒரு பின்தளத்தில் சேவையகத்திற்கு குபெர்னெட்ஸ்.
நிறுவப்பட்டதும், தாக்குபவர் நெட்வொர்க் இணைப்பு வழியாக தன்னிச்சையான கோரிக்கைகளை நேரடியாக அந்த பின்தளத்தில் அனுப்ப முடியும் இதில் எல்லா நேரங்களிலும் நோக்கம் அந்த சேவையகம்.
இந்த கோரிக்கைகள் TLS நற்சான்றுகளுடன் அங்கீகரிக்கப்பட்டுள்ளன (போக்குவரத்து அடுக்கு பாதுகாப்பு) குபெர்னெட்ஸ் ஏபிஐ சேவையகத்திலிருந்து.
இன்னும் மோசமானது, இயல்புநிலை உள்ளமைவில், அனைத்து பயனர்களும் (அங்கீகரிக்கப்பட்ட அல்லது இல்லை) ஏபிஐ கண்டுபிடிப்பு அழைப்புகளை இயக்க முடியும், இது தாக்குபவரின் இந்த சலுகையை அதிகரிக்க அனுமதிக்கிறது.
எனவே, அந்த துளை தெரிந்த எவரும் தங்கள் குபெர்னெட்ஸ் கிளஸ்டரின் கட்டளையை எடுக்க வாய்ப்பைப் பெறலாம்.
இந்த பாதிப்பு முன்னர் பயன்படுத்தப்பட்டதா என்பதைக் கண்டறிய இப்போது எளிதான வழி இல்லை.
நிறுவப்பட்ட இணைப்பில் அங்கீகரிக்கப்படாத கோரிக்கைகள் செய்யப்படுவதால், அவை குபெர்னெட்ஸ் ஏபிஐ சேவையக தணிக்கைப் பதிவுகள் அல்லது சேவையக பதிவில் தோன்றாது.
கோரிக்கைகள் குபேலெட் பதிவுகள் அல்லது மொத்த API சேவையகத்தில் தோன்றும், ஆனால் அவை குபெர்னெட்ஸ் ஏபிஐ சேவையகம் மூலம் முறையாக அங்கீகரிக்கப்பட்ட மற்றும் ப்ராக்ஸி கோரிக்கைகளிலிருந்து வேறுபடுகின்றன.
துஷ்பிரயோகம் குபெர்னெட்டஸில் இந்த புதிய பாதிப்பு இது பதிவுகளில் வெளிப்படையான தடயங்களை விடாது, எனவே இப்போது குபெர்னெட்ஸ் பிழை அம்பலப்படுத்தப்பட்டுள்ளது, அது பயன்படுத்தப்படும் வரை இது ஒரு காலப்பகுதிதான்.
வேறு வார்த்தைகளில் கூறுவதானால், Red Hat கூறினார்:
சலுகை விரிவாக்கக் குறைபாடு எந்தவொரு அங்கீகரிக்கப்படாத பயனரையும் குபெர்னெட்ஸ் பாடில் இயங்கும் எந்த கம்ப்யூட் முனையிலும் முழு நிர்வாகி சலுகைகளைப் பெற அனுமதிக்கிறது.
இது ஒரு திருட்டு அல்லது தீங்கிழைக்கும் குறியீட்டை செலுத்துவதற்கான திறப்பு மட்டுமல்ல, இது ஒரு நிறுவனத்தின் ஃபயர்வாலுக்குள் பயன்பாடு மற்றும் உற்பத்தி சேவைகளையும் குறைக்கலாம்.
குபர்னெட்டஸ் உட்பட எந்தவொரு திட்டமும் பாதிக்கப்படக்கூடியது. குபெர்னெட்ஸ் விநியோகஸ்தர்கள் ஏற்கனவே திருத்தங்களை வெளியிடுகின்றனர்.
Red Hat OpenShift கொள்கலன் இயங்குதளம், Red Hat OpenShift Online மற்றும் Red Hat OpenShift அர்ப்பணிப்பு உள்ளிட்ட அதன் குபெர்னெட்ஸ் சார்ந்த அனைத்து தயாரிப்புகளும் சேவைகளும் பாதிக்கப்பட்டுள்ளதாக Red Hat தெரிவித்துள்ளது.
பாதிக்கப்பட்ட பயனர்களுக்கு திட்டுகள் மற்றும் சேவை புதுப்பிப்புகளை Red Hat வழங்கத் தொடங்கியது.
அறியப்பட்டவரை, இதுவரை யாரும் பாதுகாப்பு மீறலைப் பயன்படுத்தவில்லை. தலைமை கட்டிடக் கலைஞரும், ராஞ்சர் ஆய்வகத்தின் இணை நிறுவனருமான டேரன் ஷெப்பர்ட், பிழையைக் கண்டுபிடித்து, குபெர்னெட்ஸ் பாதிப்பு அறிக்கையிடல் செயல்முறையைப் பயன்படுத்தி அதைப் புகாரளித்தார்.
இந்த தவறை எவ்வாறு சரிசெய்வது?
அதிர்ஷ்டவசமாக, இந்த பிழைக்கான பிழைத்திருத்தம் ஏற்கனவே வெளியிடப்பட்டது.. இதில் மட்டுமே அவர்கள் குபெர்னெட்ஸ் புதுப்பிப்பைச் செய்யுமாறு கேட்கப்படுகிறார்கள் எனவே அவர்கள் குபெர்னெட்ஸ் இணைக்கப்பட்ட பதிப்புகள் v1.10.11, v1.11.5, v1.12.3 மற்றும் v1.13.0-RC.1 ஐ தேர்வு செய்யலாம்.
எனவே நீங்கள் இன்னும் குபெர்னெட்ஸ் v1.0.x-1.9.x பதிப்புகளில் ஏதேனும் ஒன்றைப் பயன்படுத்துகிறீர்கள் என்றால், நீங்கள் ஒரு நிலையான பதிப்பிற்கு மேம்படுத்த பரிந்துரைக்கப்படுகிறது.
சில காரணங்களால் அவர்களால் குபெர்னெட்டைப் புதுப்பிக்க முடியாது அவர்கள் இந்த தோல்வியை நிறுத்த விரும்புகிறார்கள், அவர்கள் பின்வரும் செயல்முறையை மேற்கொள்ள வேண்டியது அவசியம்.
சேவையகத் திரட்டு API ஐப் பயன்படுத்துவதை நீங்கள் நிறுத்த வேண்டும் அல்லது குபேலெட் API க்கு முழு அணுகல் இல்லாத பயனர்களுக்கான பாட் எக்ஸிக் / இணைக்க / போர்ட்ஃபோர்டு முன்னோக்குகளை அகற்ற வேண்டும்.
பிழையை சரிசெய்த கூகிள் மென்பொருள் பொறியாளர் ஜோர்டான் லிகிட், அந்த நடவடிக்கைகள் தீங்கு விளைவிக்கும் என்று கூறினார்.
எனவே இந்த பாதுகாப்பு குறைபாட்டிற்கு எதிரான ஒரே உண்மையான தீர்வு தொடர்புடைய குபெர்னெட்ஸ் புதுப்பிப்பைச் செய்வதாகும்.