今天,云本地计算基金会发布了一份审计报告,该报告揭露了高度流行的开源容器编配系统forKubernetes代码中不少于34个漏洞。
根据记录,在发现的漏洞中,有4个属于高级别,15个属于中等级别,8个属于低级别,还有7个属于“信息性”级别,这意味着没有直接的危险。容器是一种软件,它使应用程序能够在不同的计算环境中不加更改地运行。
在这些漏洞中,有两个特别突出:一个名为CVE-2019-11247,它允许通过应用程序编程接口访问集群范围的客户资源;另一个名为CVE-2019-11249,它允许恶意容器创建或替换文件。
来自StackRox公司的Karen Bruner将第一个漏洞描述为严重的,他指出,该漏洞允许用户读取、修改或删除集群范围内的自定义资源。
Bruner补充说:“尽管CVE-2019-11247已经被赋予了中等严重程度的CVSS分数,但当自定义资源被用来管理与集群或应用程序安全相关的功能时,它会造成特别严重的威胁。”例如,Istio服务网格为其配置创建了许多集群范围和命名空间的crd。
CNCF最初的审计被称为“比特的踪迹”,可以在GitHub上找到,它对inKubernetes的整体安全问题给出了不同的回应。
“评估小组发现Kubernetes的配置和部署非常重要,某些组件具有令人困惑的默认设置、缺少操作控制和隐式设计的安全控制,”报告说。“而且,Kubernetes代码库的状态还有很大的改进空间。”
好消息是,Kubernetes已经发布了针对上述安全漏洞的更新。版本1.13.9、1.14.5和1.15.2于周一发布给Kubernetes用户,并建议所有客户端立即更新到其中一个版本。
考虑到快速的开发速度,在forKubernetes代码中发现的漏洞不足为奇。谷歌LLC的软件工程师Janet Kuo在5月份向SiliconANGLE的视频工作室theCUBE解释说,Kubernetes虽然复杂,但由于它的强大支持,它继续蓬勃发展。
Kubernetes最大的特点是强大的社区和生态系统。“我们看到人们在Kubernetes的基础上构建框架和不同的开源平台。”