容器技術在網站開發上相當方便,也被各家雲端業者支援。不過其中受歡迎的容器專案 Kubernetes,首度被回報重大漏洞。駭客只要用特殊的網路連線請求,就能透過 API 連到後端下達非授權不符權限的命令。
容器技術重要支援廠商紅帽稱 CVE-2018-1002105 漏洞為特權升級缺陷,除了被不肖分子偷敏感資料或是注入惡意程式碼,還能讓程式或服務在防火牆內被攻破下線。
隨著容器技術的發達,Kubernetes 越來越普及,也造成只要有漏洞,影響非同小可。所幸 Kubernetes 計畫的參與者是活躍的開源開發者,願意回報問題以及提出修補方案。Kubernetes-as-A-Service 廠商 Rancher Labs 員工 Darren Shepherd 發現這筆重大漏洞。目前有 v1.10.11、v1.11.5、v1.12.3 以及 v1.13.0-rc.1 版本可供下載修補,先前的 Kubernetes 版本要儘快更新免得因漏洞而被攻擊。
這個重大漏洞的 CVSS (Common Vulnerability Scoring System) 分數以十分為基準,高達 9.8。更糟的是 Kubernetes 的監控和伺服器 log 還不會留下紀錄,所以有用 Kubernetes 的人都要盡快升級修補漏洞。目前還沒有災情傳出,但難保有用舊版 Kubernetes 的組織,會在之後受影響發生大問題。
- Kubernetes’ first major security hole discovered
- Kubernetes Patched to Address Critical Privilege Escalation Flaw
(首圖來源:Kubernetes)
