Kubernetes’te, Windows nodlarında bölmeler ve kalıcı birimler oluşturabilen bir kullanıcının bu nodlarda yönetici ayrıcalıklarına yükseltilebileceği bir güvenlik sorunu keşfedildi. Kubernetes Clusterlar yalnızca Windows nodları için in-tree storage eklentisi kullanıyorlarsa etkilenir.
Bu sorun Yüksek olarak derecelendirilmiştir (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H 2) ve CVE-2023 olarak atanmıştır. -5528.
Savunmasız mıyım?
Windows düğümlerine sahip tüm nod ortamları etkilenir. Herhangi bir Windows düğümünün kullanımda olup olmadığını görmek için kubectl get nodes -l kubernetes.io/os=windows komutunu çalıştırın.
Etkilenen Sürümler
kubelet >= v1.8.0 (sonraki tüm küçük sürümler dahil)
Bu güvenlik açığını nasıl azaltabilirim?
Sağlanan yama, güvenlik açığını tamamen ortadan kaldırır.
Yamayı uygulama dışında bu güvenlik açığına yönelik bilinen herhangi bir azaltıcı yöntem bulunmamaktadır.
Sabit Versiyonlar
kubelet v1.28.4
kubelet v1.27.8
kubelet v1.26.11
kubelet v1.25.16
Bu sürümler bugün, yani 14 Kasım 2023’e kadar yayınlanacak.
Yükseltmek için belgelere bakın:
https://kubernetes.io/docs/tasks/administer-cluster/cluster-management/#upgrading-a-cluster 2
Tespit etme
Kubernetes denetim günlükleri, bu güvenlik açığından yararlanılıp yararlanılmadığını tespit etmek için kullanılabilir. Özel karakterler içeren yerel yol alanlarına sahip Kalıcı Birim oluşturma olayları, istismarın güçlü bir göstergesidir.
Bu güvenlik açığından yararlanıldığına dair kanıt bulursanız lütfen Security@kubernetes.io ile iletişime geçin.
Daha fazla ayrıntı için GitHub sayısına bakın: https://github.com/kubernetes/kubernetes/issues/121879 20
Comments are closed