Kubernetes açık kaynak sisteminin tüm sürümlerini etkileyen iki önemli güvenlik açığı, yetkisiz bir saldırganın hizmet reddi (DoS) durumunu tetiklemesine izin verebilir.
Kubernetes’in geliştirme ekibi, bu yeni bulunan güvenlik açıklarını gidermek ve potansiyel saldırganların onları kullanmalarını engellemek için yamalı versiyonları yayınladı.
Kubernets Google tarafından Go kullanılarak geliştirilmiştir ve konteyner kümelenmiş iş yükü ve hizmetlerin ana bilgisayar kümeleri üzerindeki dağıtımını, ölçeklendirilmesini ve yönetimini otomatikleştirmek için tasarlanmıştır.
Bunu, uygulama kaplarını bölmeler, düğümler (fiziksel veya sanal makineler) ve kümeler halinde düzenleyerek ve çoklu ölçekleme ile kümeleri oluşturan uygulamaları ölçekleme, zamanlama veya güncelleme gibi kümeleriyle ilgili görevleri koordine eden bir yönetici tarafından yönetilen bir küme oluşturarak yapar.
Güvenlik hataları tüm Kubernetes sürümlerini etkiler
Kubernetes Ürün Güvenliği Komitesi’nin Kubernetes güvenlik konuları ile ilgili duyuru listesindeki Micah Hausler , “Go dilinin net / http kitaplığında, Kubernetes’in tüm sürümlerini ve tüm bileşenlerini etkileyen bir güvenlik sorunu bulundu” açıklamasını yaptı .
“Güvenlik açıkları, tüm Kubernet sürümleri etkilendiğinde, HTTP veya HTTPS dinleyicileriyle herhangi bir işleme karşı DoS ile sonuçlanabilir”.
Netflix , 13 Ağustos’ta DoS saldırılarına HTTP / 2 iletişimi desteği ile gelen sunucuları ortaya çıkaran çoklu güvenlik açıkları olduğunu açıkladı .
Netflix tarafından güvenlik danışmanlığıyla yayınlanan sekiz CVE’den ikisi, Go ve tüm Kubernetes bileşenlerini HTTP / 2 trafiğini (/ dahil olmak üzere) sunmak üzere tasarladı.
CVE-2019-9512 ve CVE-2019-9514 olarak tanımlanan iki zafiyet , Kubernetes Ürün Güvenlik Komitesi tarafından 7.5 CVSS v3.0 temel puanlarına sahiptir ve “güvenilmeyen istemcilerin sunucu çökene kadar sınırsız miktarda bellek tahsis etmesini mümkün kılmıştır” ,
- CVE-2019-9512 Ping Flood : saldırgan, bir HTTP / 2 eşine sürekli ping gönderir ve eşin dahili bir yanıt kuyruğu oluşturmasına neden olur. Bu verilerin ne kadar verimli bir şekilde sıraya alındığına bağlı olarak, bu, fazladan CPU, bellek veya her ikisini birden tüketerek potansiyel olarak hizmet reddine neden olabilir.
- CVE-2019-9514 Reset Flood’u : saldırgan bir dizi akış açar ve eşinden bir RST_STREAM karesi akışı talep etmesi gereken her akış için geçersiz bir istek gönderir. Eşin RST_STREAM çerçevelerini nasıl sıraladığına bağlı olarak, bu durum aşırı hizmet, CPU veya her ikisini birden tüketerek potansiyel olarak hizmet reddine neden olabilir.
Kubernet kümelerinizi yükseltin
Daha önce de belirtildiği gibi, Kubernetes, güvenlik açıklarını gidermek için yamaları çoktan yayınladı ve tüm yöneticilerin en kısa zamanda yamalı bir sürüme yükseltmeleri önerilir.
Yöneticilerin güvenlik açıklarını azaltmasına yardımcı olmak için geliştirme ekibi tarafından Go’nun yeni ve yamalı sürümleri kullanılarak oluşturulan aşağıdaki Kubernet’ler yayımlandı:
• Kubernetes v1.15.3 – go1.12.9
• Kubernetes v1.14.6 – go1.12.9
• Kubernetes v1.13.10 – go1.11.13
Kubernetes yöneticileri, Kubernetes Küme Yönetimi sayfasındaki tüm platformlarda bulunan yükseltme talimatlarını kullanarak kümelerini yükseltebilirler .
Bleepingcomputer