Pericol major în Kubernetes

Un defect a fost identificat în kubernetes care permite escaladarea privilegiilor și accesul la informații sensibile în produsele și serviciile OpenShift. Cu o cerere special creată, utilizatorii care sunt autorizați să stabilească o conexiune prin serverul Kubernetes API către un server de backend pot apoi să trimită cereri arbitrare pe aceeași conexiune direct către acel backend, autentificat cu acreditările TLS ale serverului Kubernetes API folosite pentru a stabili conexiune cu backend-ul.

Un apel API către orice server API final poate fi escaladat pentru a efectua orice solicitare API față de serverul API, atât timp cât serverul API este accesibil direct din rețeaua serverului API Kubernetes. În configurațiile implicite, tuturor utilizatorilor (autentificați și neauthenticați) li se permite să efectueze apeluri API de descoperire care permit această escaladare.

Un apel API sub exec/attach/portforward poate fi escaladat pentru a efectua orice solicitare API față de API-ul kubelet pe nodul specificat  (de exemplu, listarea tuturor modulelor de pe nod, rularea comenzilor arbitrare în interiorul acelor modulelor și obținerea rezultatelor comenzii). Permisiunile către exec/attach/portforward sunt incluse în rolurile de admin/edit destinate utilizatorilor constrânși.

Produse afectate.
Kubernetes: 1.0.x - 1.9.x; 1.10.0 - 1.10.10; 1.11.0 - 1.11.4; 1.12.0 - 1.12.2

Orange Moldova CERT recomandă să faceți upgrade cât mai curând posibil la o versiune nouă.