El equipo de desarrollo de Kubernetes ya ha lanzado versiones parcheadas para abordar estas fallas de seguridad recién descubiertas y evitar que los posibles atacantes las exploten.

Kubernetes fue desarrollado originalmente por Google usando Go y está diseñado para ayudar a automatizar la implementación, el escalado y la administración de cargas de trabajo en contenedores y servicios en grupos de hosts.

Lo hace mediante la organización de contenedores de aplicaciones en pods, nodos (máquinas físicas o virtuales) y clústeres, con múltiples nodos formando un clúster que es administrado por un maestro que coordina tareas relacionadas con el clúster, como escalar, programar o actualizar aplicaciones.

Las fallas de seguridad afectan todas las versiones de Kubernetes

«Se ha encontrado un problema de seguridad en la biblioteca net / http del lenguaje Go que afecta a todas las versiones y todos los componentes de Kubernetes», reveló Micah Hausler, del Comité de Seguridad de Productos de Kubernetes, en la lista de anuncios de problemas de seguridad de Kubernetes.

«Las vulnerabilidades pueden resultar en un DoS contra cualquier proceso con un escucha HTTP o HTTPS», con todas las versiones de Kubernetes afectadas.

Netflix  anunció el descubrimiento de múltiples vulnerabilidades que exponen los servidores que vienen con soporte para la comunicación HTTP / 2 a ataques DoS el 13 de agosto.

De los ocho CVE emitidos por Netflix con su aviso de seguridad, dos de ellos también afectan a Go y a todos los componentes de Kubernetes diseñados para atender el tráfico HTTP / 2 (incluido / healthz).

El Comité de Seguridad de Productos de Kubernetes ha asignado a las dos debilidades rastreadas como CVE-2019-9512 y CVE-2019-9514 puntajes base CVSS v3.0 de 7.5 , y hacen posible que «clientes no confiables asignen una cantidad ilimitada de memoria , hasta que el servidor falla «.

  1. CVE-2019-9512  Inundación de ping : el atacante envía pings continuos a un par HTTP / 2, haciendo que el par cree una cola interna de respuestas. Dependiendo de qué tan eficientemente se pongan en cola estos datos, esto puede consumir un exceso de CPU, memoria o ambos, lo que puede conducir a una denegación de servicio.
  2. CVE-2019-9514  Reset Flood : el atacante abre varias transmisiones y envía una solicitud no válida sobre cada transmisión que debería solicitar una transmisión de tramas RST_STREAM del par. Dependiendo de cómo el interlocutor pone en cola las tramas RST_STREAM, esto puede consumir un exceso de memoria, CPU o ambos, lo que puede conducir a una denegación de servicio.

Actualiza tus grupos de Kubernetes

Como se mencionó al principio, Kubernetes ya ha lanzado parches para abordar las vulnerabilidades y se recomienda a todos los administradores que actualicen a una versión parcheada lo antes posible.

El equipo de desarrollo ha publicado los siguientes lanzamientos de Kubernetes creados con versiones nuevas y parcheadas de Go para ayudar a los administradores a mitigar las vulnerabilidades:

• Kubernetes v1.15.3 – go1.12.9
• Kubernetes v1.14.6 – go1.12.9
• Kubernetes v1.13.10 – go1.11.13

Los administradores de Kubernetes pueden actualizar sus clústeres utilizando las instrucciones de actualización disponibles para todas las plataformas en la página de Kubernetes Cluster Management .

Fuente: bleepingcomputer.com

Compartir