آسیبپذیری موجود در سیستم هماهنگی کانتینر Kubernetes به کاربران اجازه میدهد تا منابع سفارشی را بخوانند، اصلاح و یا حذف کنند. این آسیبپذیری امنیتی که با شناسهی CVE-2019-11247 ردیابی میشود به این دلیل به وجود میآید که یک سرور API از محدودههای اشتباه دسترسی به منابع را فراهم میکند.
جوئل اسمیت از Kubernetes تشریح میکند که مجوزها و تأییدهای مربوط به منابعی که با این روش دسترسی به آنها اعطا میشود، بااستفاده از نقشها و بایند کردن نقشها در فضای نام اعمال میشود.
با وجود این آسیبپذیری، کاربری با دسترسی به یک منبع در یک فضای نام میتواند منبع کلاستر را ایجاد، مشاهده و یا حذف کند. بهگفتهی StackRox، کلاسترهایی که از Custom Resource Definition (CRDs) استفاده نمیکنند، تحت تأثیر این آسیبپذیری قرار نمیگیرند. بااینحال، CRDها یک مؤلفهی مهم برای بسیاری از پروژههای بومی Kubernetes هستند و بسیاری از کاربران بهشدت تحت تأثیر قرار میگیرند.
کلاسترهایی که بدون Kubernetes RBAC اجرا میشوند تحت تأثیر قرار نگرفتهاند، اما عدم استفاده از Kubernetes RBAC خطر بیشتری نسبت به این آسیبپذیری ایجاد میکند. اگرچه آسیبپذیری CVE-2019-11247 با شدت متوسط ارزیابی شده است، هنگامی که منابع سفارشی برای مدیریت عملکرد مربوط به کلاستر یا امنیت برنامه استفاده میشوند، تهدید جدی ایجاد میکنند.
مسألهی امنیتی دوم با شناسهی CVE-2019-11249 ردیابی میشود و شامل وصلههایی ناقص برای دو آسیبپذیری دیگر یعنی CVE-2019-1002101 و CVE-2019-11246 و پیمایش مسیر پنهانی kubectl cp است.
این آسیبپذیری به یک کانتینر مخرب اجازه میدهد زمانیکه کلاینت از عملیات kubectl cp استفاده میکند، یک فایل را در رایانهی کلاینت ایجاد یا جایگزین کند. این آسیبپذیری یک نقص طرف کلاینت است و برای بهرهبرداری از آن نیازی به تعامل با کاربر نیست. به همهی کاربران توصیه میشود که همهی کلاسترهای Kubernetes و کلاینتهای kubectl را به یک نسخهی وصلهشده ارتقاء دهند.