พบช่องโหว่ความปลอดภัยที่สำคัญของ Kubernetes
Kubernetes กลายเป็นระบบคอนเทนเนอร์บนคลาวด์ที่เป็นที่นิยมมากที่สุด ล่าสุดมีการค้นพบช่องโหว่ความปลอดภัยที่สำคัญ Kubernetes Privilege Escalation (CVE-2018-1002105) มีความความรุนแรงเป็น Critical (CVSS 9.8/10)
ช่องโหว่นี้ส่งผลให้ผู้ใช้งานที่ส่ง request ซึ่งได้รับการดัดแปลง เพื่อทำการเชื่อมต่อผ่านทาง API ของ Kubernetes ไปยัง backend server ได้ เมื่อการเชื่อมต่อสำเร็จแล้ว ผู้ใช้งานจะสามารถส่ง request ใดๆ ก็ตามไปยัง backend server ได้โดยตรง
ในการกำหนดค่าเริ่มต้นผู้ใช้ทั้งหมด ไม่ว่าเป็นแบบ authenticated หรือ unauthenticated จะได้รับอนุญาตให้ดำเนินการเรียกใช้งาน API ที่มีช่องโหว่ดังกล่าวนี้ ดังนั้นไม่ว่าผู้ใช้งานจะเป็นใครก็ตามก็สามารถทำการโจมตีได้ และจากรายงานระบุว่ายังไม่มีวิธีการที่สามารถใช้ตรวจจับการโจมตีผ่านช่องโหว่ดังกล่าวได้อย่างง่ายดาย
อย่างไรก็ตามยังมีข่าวดีในข่าวร้ายสำหรับผู้ใช้งานบางคน ข่าวดีคือมีการแก้ไขช่องโหว่ดังกล่าวออกมาแล้ว แต่ข่าวร้ายคือผู้ใช้งานต้องทำการอัปเกรดเวอร์ชั่นของ Kubernetes ซึ่งอาจไม่เป็นที่ชอบใจของผู้ใช้งานบางราย โดยผู้ใช้งานเวอร์ชั่น v1.0.x ถึง1.9.x จะต้องหยุดใช้งานและทำการอัปเดทเป็นเวอร์ชั่น v1.10.11, v1.11.5, v1.12.3 และ v1.13.0-rc.1
ที่มา:zdnet
You must be logged in to post a comment.