یک آسیب پذیری جدید در Kubernetes پیدا شده است که در آن کاربران ممکن است بتوانند برای دسترسی به پرونده ها و فهرست های خارج از حجم ، یک محفظه با قابلیت تنظیم حجم زیر مسیر ایجاد کنند. این موضوع ابتدا توسط Fabricio Voznika و Mark Wolters از Google گزارش شد و در 13 سپتامبر 2021 به Github ارسال شد. آیا می دانید در معرض دید قرار دارید؟
ARMO
ما یک مبتکر امنیتی Kubernetes هستیم
بررسی اجمالی
یک آسیب پذیری جدید با شدت بالا در Kubernetes پیدا شد که در آن کاربران ممکن است قادر به ایجاد یک محفظه با قابلیت تنظیم زیرمجموعه برای دسترسی به فایلها و فهرستهای خارج از حجم ، از جمله در سیستم فایل میزبان باشند. این مسئله بر جزء Kubelet Kubernetes تأثیر می گذارد (Kubelet اصلی ترین “عامل گره” است که روی هر گره اجرا می شود. این گره را با apiserver ثبت می کند و POD ها را روی آن راه اندازی می کند).
این موضوع ابتدا توسط Fabricio Voznika و Mark Wolters از Google گزارش شد و در 13 سپتامبر 2021 (https://github.com/kubernetes/kubernetes/issues/104980) به Github ارسال شد.
این آسیب پذیری به مهاجمان اجازه می دهد از ویژگی subPath of the volumeMounts سوء استفاده کرده و بدون استفاده از ویژگی hostPath که در ابتدا برای این قابلیت در نظر گرفته شده بود ، به کل سیستم فایل میزبان دسترسی پیدا کنند.
کاهش
بهترین راه برای جلوگیری از تحت تأثیر قرار گرفتن غیرفعال کردن کامل عملکرد VolumeSubPath با استفاده از …