Beveiligingsaudit ontdekt 34 kwetsbaarheden in Kubernetes-code

Bij een audit zijn maar liefst 34 kwetsbaarheden gevonden in de code voor Kubernetes. De audit werd gepubliceerd door de Cloud Native Computing Foundation.

Vier van de kwetsbaarheden zijn als ernstig bestempeld, schrijft Silicon Angle. Vijftien anderen hebben een middelmatige ernst, acht zijn niet ernstig en zeven zijn “informational”, wat betekent dat er geen directe dreiging is.

De audit van de Cloud Native Computing Foundation werd uitgevoerd door twee bedrijven. Het gaat om Trail of Bits en Atredis Partners. Door de diensten van de twee bedrijven te combineren, moesten de beste resultaten worden bereikt.

Opvallende fouten

Twee van de kwetsbaarheden vallen op. Eén, CVE-2019-11247 geheten, geeft toegang tot een cluster-scoped klant-resource via een API. Deze kwetsbaarheid is volgens Karen Bruner van StackRox ernstig, ook al wordt hij als medium aangemerkt.

“Het biedt vooral een grote dreiging wanneer eigen resources gebruikt worden om een functie gerelateerd aan cluster- of applicatiebeveiliging te beheren”, aldus Bruner. “De Istio-dienst mesh maakt bijvoorbeeld tientallen CRD’s aan, zowel cluster-breed als namespaced, voor zijn configuratie.”

De tweede kwetsbaarheid die opviel, CVE-2019-11249 genaamd, laat een malafide container bestanden aanmaken of vervangen.

Audit

De eerste audit van de Cloud Native Computing Foundation gaf een gemixte reactie op de beveiliging in Kubernetes.

Volgens het team hadden sommige componenten van de configuratie en deployment van Kubernetes verwarrende standaard instellingen. Ook miste sommige componenten operationele controles en hebben ze impliciet ontworpen beveiligingscontroles. “Ook de toestand van de codebase van Kubernetes kan aanzienlijk worden verbeterd.”

Voor Kubernetes zijn inmiddels updates uitgebracht om de kwetsbaarheden op te lossen. Versies 1.13.9, 1.14.5 en 1.15.2 zijn maandag uitgebracht. Gebruikers wordt aangeraden om direct naar één van deze versies te upgraden.