容器技术在网站开发上相当方便,也被各家云端业者支援。不过其中受欢迎的容器专案 Kubernetes,首度被回报重大漏洞。骇客只要用特殊的网络连线请求,就能透过 API 连到后端下达非授权不符权限的命令。
容器技术重要支援厂商红帽称 CVE-2018-1002105 漏洞为特权升级缺陷,除了被不肖分子偷敏感资料或是注入恶意程式码,还能让程式或服务在防火墙内被攻破下线。
随着容器技术的发达,Kubernetes 越来越普及,也造成只要有漏洞,影响非同小可。所幸 Kubernetes 计划的参与者是活跃的开源开发者,愿意回报问题以及提出修补方案。Kubernetes-as-A-Service 厂商 Rancher Labs 员工 Darren Shepherd 发现这笔重大漏洞。目前有 v1.10.11、v1.11.5、v1.12.3 以及 v1.13.0-rc.1 版本可供下载修补,先前的 Kubernetes 版本要尽快更新免得因漏洞而被攻击。
这个重大漏洞的 CVSS (Common Vulnerability Scoring System) 分数以十分为基准,高达 9.8。更糟的是 Kubernetes 的监控和服务器 log 还不会留下纪录,所以有用 Kubernetes 的人都要尽快升级修补漏洞。目前还没有灾情传出,但难保有用旧版 Kubernetes 的组织,会在之后受影响发生大问题。
- Kubernetes’ first major security hole discovered
- Kubernetes Patched to Address Critical Privilege Escalation Flaw
(首图来源:Kubernetes)
