APP下载

Kubernetes爆重大漏洞!不法人士可取得管理员权限,窃取机敏资料、瘫痪企业应用

消息来源:baojiabao.com 作者: 发布时间:2024-03-29

报价宝综合消息Kubernetes爆重大漏洞!不法人士可取得管理员权限,窃取机敏资料、瘫痪企业应用

近期Kubernetes爆出资安漏洞,Kubernetes产品安全团队表示,近日在Kubernetes API Server内存在权限扩张漏洞,发现此漏洞的开发者为Rancher共同创办人兼首席架构师Darren Shepherd。

目前Kubernetes开发团队已经发布V1.10.11、V1.11.5及V1.12.3,以解决该漏洞带来的风险。参与Kubernetes安全团队的Google高级工程师Jordan Liggitt建议,在丛集内执行先前版本Kubernetes的企业用户,得尽速择一版本进行更新。

此漏洞编号为CVE-2018-1002105,让攻击者可以发送特殊的系统请求,经由Kubernetes API Server,与企业内部后端服务器进行连线,借由取得Kubernetes API Server的认证,攻击者就能利用既有连线,任意向后端服务器发送请求。

红帽云端平台副总裁Ashesh Badani表示,此权限扩张漏洞的影响非常重大,可让不法人士在任何运算节点、Kubernetes Pod取得管理员权限,骇客可以盗取机敏资料、注入恶意程式码,或者瘫痪企业正式环境内的应用程序。而红帽使用Kubernetes作为核心调度引擎的产品线,包含容器平台OpenShift、OpenShift Online、OpenShift Dedicated皆受该漏洞影响。他表示,红帽已经开始进行修补工作,释出更新档,并且上传给受该漏洞影响的企业用户。

2018-12-04 13:34:00

相关文章