آسیب‌پذیری بحرانی ارتقاء دسترسی در Kubernetes API Server

یک حفره امنیتی در API Server Kubernetes (کوبرنتیس) یافت شده است که به کاربر اجازه ارتقاء سطح دسترسی را می‌دهد.

 آسیب‌پذیری بحرانی ارتقاء دسترسی در Kubernetes API Server

یک حفره امنیتی در API Server Kubernetes (کوبرنتیس) یافت شده است که به کاربر اجازه ارتقاء سطح دسترسی را می‌دهد. اگر کاربری اجازه داشته باشد از طریق سرور API با یک سرور backend ارتباط برقرار کند، با استفاده از این آسیب‌پذیری می‌تواند به طور مستقیم درخواست خود را به سرور backend ارسال کند.

سرور API، از طریق یک گواهی TLS به backend متصل می‌شود. حال اگر کاربر، نوعی درخواست را به شکل خاصی طراحی کرده و به سرور API بفرستد، می‌تواند از طریق این اتصال TLS، به backend متصل شود و درخواست‌های دلخواه خود را به backend بفرستد.

این آسیب‌پذیری دارای شناسه CVE-2018-1002105 و امتیاز CVSS آن برابر 9.8 (بحرانی) است.

همه نسخه‌های قبلی Kubernetes دچار این آسیب‌پذیری هستند و برای حل این مشکل، نسخه‌های به‌روز شده آن منتشر شده اند. نسخه‌های به‌روز شده عبارت اند از: v1.10.11، v1.11.5 و v1.12.3.

 

 

منبع

 

کلمات کلیدی