Pc-urgence La faille critique Kubernetes corrigée - Pc-urgence

La faille critique Kubernetes corrigée

La vulnérabilité CVE-2018-1002105 affectant le serveur API Kubernetes a été comblée. Les entreprises doivent s’assurer que l’ensemble de leurs clusters tournent sur des releases de l’orchestrateur de containers open source qui ne sont pas antérieures aux v1.10.11, v1.11.5, v1.12.3 et v1.13.0-rc.1.

Kubernetes a rencontré sa première vulnérabilité critique. Découverte par Darren Shepherd, co-fondateur et architecte principal de Rancher Labs, la faille CVE-2018-1002105 touche le serveur API Kubernetes. Elle permet, d’après Jordan Liggitt (ingénieur senior chez Google), à un utilisateur malveillant d’utiliser l’API Kubernetes pour se connecter à un serveur principal afin d’envoyer des requêtes arbitraires authentifiées avec les informations de connexion TLS du serveur d’API Kubernetes utilisées pour établir la connexion backend. Avec ce gain de privilèges, n’importe quel utilisateur dispose ainsi de droits d’administration sur n’importe quel noeud de calcul exécuté dans un pod Kubernetes.

Les versions affectées par cette faille critiques sont les suivantes : v1.0.x-1.9.x, v1.10.0-1.10.10, v1.11.0 1.11.4 et v1.12.0-1.12.2. Des correctifs ont été apportés et les entreprises sont enjointes à les installer – ou à vérifier que leur prestataire les a bien implémentés -, il s’agit des releases v1.10.11, v1.11.5 et v1.12.3.

Une exploitation sous le radar dans les logs

Attention, car comme le précise Jordan Liggitt, vérifier que cette vulnérabilité a été exploitée est loin d’être évidente : « Il n’y a pas de moyen simple de détecter si cette vulnérabilité a été utilisée. Étant donné que les requêtes non autorisées sont effectuées via une connexion établie, elles n’apparaissent pas dans les journaux d’audit du serveur API Kubernetes ni dans le journal du serveur. Les demandes apparaissent dans les journaux du serveur d’API kubelet ou agrégé, mais ne peuvent pas être distinguées des demandes correctement autorisées et mandatées via le serveur d’API Kubernetes ».

Le meilleur moyen de se prémunir d’éventuelles exploitations est donc de patcher. Plusieurs fournisseurs ont d’ailleurs prévenu avoir fait le nécessaire comme AWS ou encore Red Hat pour ses produits et services OpenShift.

Let’s block ads! (Why?)

Powered by WPeMatico

Dépannage informatique à domicile

Dépannage informatique à domicile

PC urgence, le spécialiste du dépannage informatique à domicile sur Paris et Île-de-France, jour et nuit vous bénéficiez d'un dépannage informatique sans aucun surcoût et sans frais de déplacements. Contactez-nous au 09.70.40.81.52.
Protected by Copyscape Web Plagiarism Tool

Laisser un commentaire

Vous devez être connecté pour publier un commentaire.

Rappel Gratuit

Prix:
GRATUIT

Assistance à Distance

Prix:
39 €

Elu Service de l'année

Prix:
2013

Dépannage informatique de nuit

Dépannage informatique paris et ile de france
Prix:
166 €

Antivirus Gratuit

Prix:
GRATUIT

Installation Internet

Prix:
89 €
ACCUEIL    |    ACTUALITES    |    internet    |    accessoires et logiciels    |    contact
Claude Arel Retrouvez-nous sur Google+ Google Copyright © 2010-2013 Pc-Urgence