Programmez! #239 PDF pour nos abonnés papier

Abonnés papier : en raison de la situation due au coronavirus, des retards sont à prévoir en ce qui concerne la distribution de Programmez! #239 par La Poste. C'est pourquoi nous mettons Programmez! #239 PDF à disposition dans votre compte utilisateur sous un onglet dédié en attendant. Pour y accéder, il vous suffit de saisir votre n° d'abonné (ou éventuellement le ressaisir comme pour l'accès aux archives) dans votre compte utilisateur, si ce n'est pas déjà fait. Si vous ne connaissez par votre numéro d'abonné, vous pouvez l'obtenir à cette page. Si vous ne possédez pas encore de compte utilisateur, il vous suffit d'en créer un.

En cas de difficultés, contactez le webmaster à partir du formulaire de contact de ce site.

Une vulnérabilité critique découverte dans Kubernetes

Par:
fredericmazue

jeu, 06/12/2018 - 15:52

Kubernetes est un outil réputé très fiable. Toutefois une vulnérabilité critique y a été découverte par Darren Shepherd, chief-architect de Ranchers Labs. Cette vulnérabilité, estampillée CVE-2018-1002105 permet une escalade de privilèges jusqu'à l'obtention des droits administrateur.

Un appel d'API à n'importe quel point de terminaison de serveur d'API agrégé peut être escaladé pour exécuter toute demande d'API sur ce serveur d'API agrégé, à condition que ce serveur d'API agrégé soit directement accessible à partir du réseau du serveur d'API Kubernetes, explique le document décrivant la vulnérabilté. Le document précise que La stratégie RBAC par défaut permet à tous les utilisateurs (authentifiés et non authentifiés) d'effectuer des appels d'API de découverte autorisant cette escalade par rapport aux serveurs d'API agrégés configurés dans le cluster. Même pas besoin d'être authentifié pour attaquer donc.

Ce n'est pas tout : Un appel d'API de type exec / attach / portforward de pod peut être escaladé pour exécuter toute demande d'API sur l'API de kubelet sur le nœud spécifié dans la spécification de pod (par exemple, répertorier tous les pods sur le nœud, exécuter des commandes arbitraires dans ces pods et obtenir le résultat de la commande. ). Les autorisations d’exécution / d’attachement / de transfert de port du pod sont incluses dans les rôles RBAC admin / edit destinés aux utilisateurs limités par un espace de noms, précise encore le document.

Les versions vulnérables sont Kubernetes v1.0.x-1.9.x, Kubernetes v1.10.0-1.10.10, Kubernetes v1.11.0-1.11.4 et  Kubernetes v1.12.0-1.12.2.

Des correctifs ont été apportés dans les versions v1.10.11,  v1.11.5 et v1.12.3

Faites vos mises à jour de toute urgence.