מחקר חדש חושף לא פחות מ-34 חולשות אבטחה בקוד של קוברנטיס

מחקר מקיף שארך 4 חודשים גילה לא מעט חולשות אבטחה שמסתתרות ב-2 מיליון שורות הקוד של קוברנטיס. החדשות הטובות: יש עדכוני אבטחה

עיבוד תמונה: גיקטיים

סביבת קוברנטיס נחשבת אולי לאחד מהתחומים החמים כיום בתחום הפיתוח והענן, אבל עם יותר מ-2 מיליון שורות קוד, אתם יכולים להיות בטוחים בדבר אחד: כנראה שיש בה לא מעט חורים. עתה חושף מחקר חדש לא פחות מ-34 חולשות אבטחה, מתוכן 4 הוגדרו כ”חמורות”.

34 חולשות אבטחה שונות

מחקר שנערך בהזמנת עמותת Cloud Native Computing Foundation חושף שקוברנטיס, סביבת ניהול הקונטיינרים הפופולארית, סובלת מלא מעט חולשות אבטחה בקוד. חוקרים של חברות האבטחה Trail of Bits ו-Atredis Partners, חיטטו בארבעת החודשים האחרונים בקוד, שמורכב מיותר מ-2 מיליון שורות ובדקו רכיבים שונים שקשורים בקריפטוגרפיה, אימות, רשתות ועוד.

בסך הכל גילו החוקרים 34 חולשות אבטחה שונות (vulnerabilities) מתוכן 4 הוגדרו כ”חמורות”, 15 בדרגת סיכון “בינונית” ו-15 הוגדרו ברמת סיכון נמוכה או חסרות חשיבות. חולשת CVE-2019-11247 למשל מאפשרת למשתמשים לא-מורשים לקרוא, לשנות ולמחוק משאבים בקלאסטרים שונים, גם אם יש להם הרשאות RBAC לא מספיקות ל-namespaces; אם הקלאסטרים שלכם לא עושים שימוש ב-CRD, החולשה לא משפיעה עליכם. חולשה CVE-2019-11249 מאפשרת לקונטיינר עם קוד זדוני ליצור או להחליף קבצים במחשב, כאשר הקליינט מריץ פקודת KUBECTL CP.

החדשות הטובות הן שעדכוני אבטחה, שמטפלים בחולשות שהתגלו, כבר זמינים, ומומלץ לכל המשתמשים לשדרג לגרסאות 1.13.9, 1.14.5, ו-1.15.2. עוד מידע תמצאו באתר של העמותה וכן בגיטהאב (1,2,3,4). עם זאת, עורכי המחקר ממליצים למשתמשים בקוברנטיס להמעיט עד כמה שאפשר בגישות והרשאות לקבצים ולהשגיח מקרוב על תהליכי הרקע בלינוקס.

המקום שלכם לעדכן ולהתעדכן המקום שלכם לעדכן ולהתעדכן להצטרפות לקבוצת הפייסבוק הסגורה של גיקטיים, לחצו כאן

 

יניב אביטל

עורך אתר גיקטיים, ובזמנו החופשי גיק, קופירייטר, אבא, חולה על גאדג'טים וקוד, לא בהכרח בסדר הזה

הגב

3 תגובות על "מחקר חדש חושף לא פחות מ-34 חולשות אבטחה בקוד של קוברנטיס"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
נאור
Guest

יש 37 פגיעויות אבל בשביל זה הייתם צריכים לקרוא את הדו״ח של trail of bits החברה שעשתה את הcode review.
אפילו מוטב וכדאי היה אם גם הייתם מתייחסים לבעיות הרוחביות שנמצאו בפלטפורמה שלפי החברה ״עלולים לגרום לתחושת אבטחה שאינה קיימת״
למי שרוצה לקרוא את הדו״ח המלא:
https://github.com/kubernetes/community/blob/master/wg-security-audit/findings/Kubernetes%20Final%20Report.pdf

ששי
Guest

להשתמש בקוברניטיס ללא מוצר אבטחה ייעודי זה חוסר אחריות לכל חברה המכבדת את עצמה

מישהו
Guest

יש חולשות אבטחה במוצרי VM מסורס כמו דוקר וקוברנטיס? מי היה מאמין

wpDiscuz

תגיות לכתבה: