Kubernetes Image Builder’da, başarılı bir şekilde kullanılması durumunda belirli koşullar altında root erişimi elde etmek için kötüye kullanılabilecek kritik bir güvenlik açığı ortaya çıktı.
Şu şekilde izlenen güvenlik açığı: CVE-2024-9486 (CVSS puanı: 9.8), 0.1.38 sürümünde ele alınmıştır. Proje sahipleri, Nicolai Rybnikar’ın güvenlik açığını keşfedip bildirdiği için teşekkür etti.
Red Hat’ten Joel Smith, “Görüntü oluşturma işlemi sırasında varsayılan kimlik bilgilerinin etkinleştirildiği Kubernetes Image Builder’da bir güvenlik sorunu keşfedildi.” söz konusu bir uyarıda.
“Ek olarak, Proxmox sağlayıcısı kullanılarak oluşturulan sanal makine görüntüleri bu varsayılan kimlik bilgilerini devre dışı bırakmaz ve elde edilen görüntüleri kullanan düğümlere bu varsayılan kimlik bilgileri aracılığıyla erişilebilir. Kimlik bilgileri, kök erişimi elde etmek için kullanılabilir.”
Bununla birlikte Kubernetes kümeleri yalnızca düğümlerinin Proxmox sağlayıcısıyla Image Builder projesi aracılığıyla oluşturulan sanal makine (VM) görüntülerini kullanması durumunda bu kusurdan etkileniyor.
Geçici bir çözüm olarak, etkilenen VM’lerde oluşturucu hesabının devre dışı bırakılması önerildi. Kullanıcıların ayrıca etkilenen görüntüleri Image Builder’ın sabit bir sürümünü kullanarak yeniden oluşturmaları ve bunları VM’lere yeniden dağıtmaları önerilir.
Kubernetes ekibi tarafından uygulanan düzeltme, görüntü oluşturma süresi boyunca rastgele oluşturulmuş bir parola için varsayılan kimlik bilgilerinden kaçınıyor. Ayrıca görüntü oluşturma sürecinin sonunda oluşturucu hesabı devre dışı bırakılır.
Kubernetes Image Builder sürüm 0.1.38 aynı zamanda şu sorunu da giderir: ilgili sorun (CVE-2024-9594, CVSS puanı: 6,3) Nutanix, OVA, QEMU veya ham sağlayıcılar kullanılarak görüntü derlemeleri oluşturulduğunda varsayılan kimlik bilgileriyle ilgili.
CVE-2024-9594’ün önem derecesinin düşük olması, bu sağlayıcılar kullanılarak oluşturulan görüntüleri kullanan VM’lerin yalnızca etkilenen “Bir saldırgan, görüntü oluşturmanın gerçekleştiği VM’ye ulaşabildiyse ve görüntü oluşturmanın gerçekleştiği sırada görüntüyü değiştirmek için güvenlik açığını kullanabildiyse.”
Bu gelişme, Microsoft’un, ayrıcalık artışına ve bilgilerin ifşa edilmesine yol açabilecek Dataverse, Imagine Cup ve Power Platform gibi Kritik dereceli üç kusur için sunucu tarafı yamaları yayınlamasıyla birlikte geliyor.
- CVE-2024-38139 (CVSS puanı: 8,7) – Microsoft Dataverse’deki hatalı kimlik doğrulama, yetkili bir saldırganın ağ üzerinden ayrıcalıkları yükseltmesine olanak tanır
- CVE-2024-38204 (CVSS puanı: 7,5) – Imagine Cup’taki Uygunsuz Erişim Kontrolü, yetkili bir saldırganın ağ üzerindeki ayrıcalıkları yükseltmesine olanak tanır
- CVE-2024-38190 (CVSS puanı: 8,6) – Power Platform’da eksik yetkilendirme, kimliği doğrulanmamış bir saldırganın, bir ağ saldırısı vektörü aracılığıyla hassas bilgileri görüntülemesine olanak tanır
Bu aynı zamanda Apache Solr açık kaynaklı kurumsal arama motorunda (CVE-2024-45216, CVSS puanı: 9,8) hassas örneklerde kimlik doğrulamanın atlanmasının önünü açabilecek kritik bir güvenlik açığının açığa çıkmasının ardından geldi.
“Herhangi bir Solr API URL yolunun sonundaki sahte bir son, orijinal URL Yolu ile API sözleşmesini korurken isteklerin Kimlik Doğrulamayı atlamasına olanak tanıyacaktır.” GitHub tavsiyesi kusur durumları için. “Bu sahte son, korumasız bir API yoluna benziyor, ancak kimlik doğrulamadan sonra ancak API yönlendirmeden önce dahili olarak kaldırılıyor.”
5.3.0’dan 8.11.4’e ve 9.0.0’dan 9.7.0’a kadar olan Solr sürümlerini etkileyen sorun, sırasıyla 8.11.4 ve 9.7.0 sürümlerinde düzeltildi.