Kubernetes Image Builder’da, başarılı bir şekilde kullanılması durumunda belirli koşullar altında root erişimi elde etmek için kötüye kullanılabilecek kritik bir güvenlik açığı ortaya çıktı.
Şu şekilde izlenen güvenlik açığı: CVE-2024-9486 (CVSS puanı: 9.8), 0.1.38 versiyonunda ele alınmıştır. Proje sahipleri, Nicolai Rybnikar’a güvenlik açığını keşfedip bildirdiği için teşekkür etti.
Red Hat’ten Joel Smith bir uyarıda, “Görüntü oluşturma işlemi sırasında varsayılan kimlik bilgilerinin etkinleştirildiği Kubernetes Image Builder’da bir güvenlik sorunu keşfedildi” dedi.
“Ek olarak, Proxmox sağlayıcısı kullanılarak oluşturulan sanal makine görüntüleri bu varsayılan kimlik bilgilerini devre dışı bırakmaz ve elde edilen görüntüleri kullanan düğümlere bu varsayılan kimlik bilgileri aracılığıyla erişilebilir. Kimlik bilgileri, kök erişimi elde etmek için kullanılabilir.”
Bununla birlikte Kubernetes kümeleri yalnızca düğümlerinin Proxmox sağlayıcısıyla Image Builder projesi aracılığıyla oluşturulan sanal makine (VM) görüntülerini kullanması durumunda bu kusurdan etkileniyor.
Geçici bir çözüm olarak, etkilenen VM’lerde oluşturucu hesabının devre dışı bırakılması önerildi. Kullanıcıların ayrıca etkilenen görüntüleri Image Builder’ın sabit bir sürümünü kullanarak yeniden oluşturmaları ve bunları VM’lere yeniden dağıtmaları önerilir.
Kubernetes ekibi tarafından uygulanan düzeltme, görüntü oluşturma süresi boyunca rastgele oluşturulmuş bir parola için varsayılan kimlik bilgilerinden kaçınıyor. Ayrıca görüntü oluşturma sürecinin sonunda oluşturucu hesabı devre dışı bırakılır.
Kubernetes Image Builder sürüm 0.1.38 ayrıca Nutanix, OVA, QEMU veya raw sağlayıcıları kullanılarak görüntü derlemeleri oluşturulduğunda varsayılan kimlik bilgileriyle ilgili ilgili bir sorunu da (CVE-2024-9594, CVSS puanı: 6.3) ele alıyor.
CVE-2024-9594’ün önem derecesinin düşük olması, bu sağlayıcılar kullanılarak oluşturulan görüntüleri kullanan VM’lerin yalnızca “bir saldırganın görüntü oluşturmanın gerçekleştiği VM’ye ulaşıp görüntüyü değiştirmek için güvenlik açığını kullanması durumunda” etkilenmesinden kaynaklanmaktadır. görüntü oluşumunun gerçekleştiği sırada.”
Bu gelişme, Microsoft’un ayrıcalık artışına ve bilgilerin ifşa edilmesine yol açabilecek Dataverse, Imagine Cup ve Power Platform adlı üç Kritik dereceli kusurun sunucu tarafı yamalarını yayınlamasıyla ortaya çıktı.
- CVE-2024-38139 (CVSS puanı: 8,7) – Microsoft Dataverse’deki hatalı kimlik doğrulama, yetkili bir saldırganın ağ üzerinden ayrıcalıkları yükseltmesine olanak tanır
- CVE-2024-38204 (CVSS puanı: 7,5) – Imagine Cup’taki Uygunsuz Erişim Kontrolü, yetkili bir saldırganın ağ üzerindeki ayrıcalıkları yükseltmesine olanak tanır
- CVE-2024-38190 (CVSS puanı: 8,6) – Power Platform’da eksik yetkilendirme, kimliği doğrulanmamış bir saldırganın, bir ağ saldırısı vektörü aracılığıyla hassas bilgileri görüntülemesine olanak tanır
Bu aynı zamanda Apache Solr açık kaynaklı kurumsal arama motorunda (CVE-2024-45216, CVSS puanı: 9,8) hassas örneklerde kimlik doğrulamanın atlanmasının önünü açabilecek kritik bir güvenlik açığının açığa çıkmasının ardından geldi.
Kusur durumlarına yönelik bir GitHub tavsiyesi olan “Herhangi bir Solr API URL yolunun sonundaki sahte bir son, orijinal URL Yolu ile API sözleşmesini korurken isteklerin Kimlik Doğrulamayı atlamasına olanak tanıyacaktır.” “Bu sahte son, korumasız bir API yoluna benziyor, ancak kimlik doğrulamadan sonra ancak API yönlendirmesinden önce dahili olarak kaldırılıyor.”
5.3.0’dan 8.11.4’e ve 9.0.0’dan 9.7.0’a kadar olan Solr sürümlerini etkileyen sorun, sırasıyla 8.11.4 ve 9.7.0 sürümlerinde düzeltildi.