Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Kubernetesの権限昇格の脆弱性が公開(CVE-2018-1002105)

コンテナ管理に用いるオープンソースのフレームワークKubernetesの深刻な脆弱性 (CVE-2018-1002105) に対処するパッチはすでにリリースされています。

背景

12月3日、人気のあるコンテナ管理に用いるオープンソースのフレームワーク、Kubernetesの特権昇格の脆弱性に関する詳細が、Kubernetesチームによって公開されました 。Kubernetesは、コンテナ化されたアプリケーションの導入、スケーリング、および管理を自動化するために使用されます。

脆弱性の詳細

この脆弱性、 CVE-2018-1002105は、KubernetesのAPIサーバーのプロキシ処理機能に存在します。この脆弱性を悪用すると、APIサーバーへの接続が許可されている場合、Kubernetes APIサーバーを介してバックエンドサーバーに任意の要求を行うことができます。Kubernetesチームによると、「すべてのユーザー(認証済みおよび非認証済み)は、デフォルトの構成でこの権限昇格を許可するAPI呼び出しを実行できる」とのことです。

さらに、この脆弱性により、kubelet API経由でKubernetes pod APIリクエスト(exec、attach、portforward)の権限昇格が可能になります。

Kubernetesチームによると、「確立された接続を介して不正な要求が行われる」ため、要求は監査ログまたはサーバーログには表示されません。ただし、kubeletまたは集約されたAPIサーバーログに表示される要求は、Kubernetes APIサーバー経由で正しく承認され、プロキシされた要求と区別できないため、この脆弱性の使用を企業環境で検出することは困難です。

緊急措置が必要

システム管理者、ユーザー、またはKubernetesを導入しているユーザーは、すぐにパッチが適用されたバージョンにアップグレードする必要があります。次のKubernetesのバージョンがこの脆弱性の影響を受けています。

  • Kubernetes v1.0.x-1.9.x
  • Kubernetes v1.10.0-1.10.10
  • Kubernetes v1.11.0-1.11.4
  • Kubernetes v1.12.0-1.12.2

この脆弱性はKubernetesの次のバージョンで対処されています。

さらに、Red HatのOpenShift Container Platformのユーザーは、できるだけ早くパッチを適用したバージョンにアップグレードする必要があります。

最後に、DebianおよびSUSEディストリビューションのセキュリティトラッカーページで、これらのプラットフォームでのKubernetesのパッチのリリースに関する最新情報をご確認ください。

攻撃されたシステムの特定

この脆弱性を特定するための Nessus プラグイン一覧は、リリースされる度にこちらに表示されます。

詳細情報を入手する

最新のアタックサーフェスを総合的に管理する初のサイバーエクスポージャープラットフォーム、 Tenable.io の詳細情報をご覧ください。今すぐ Tenable.io Vulnerability Management の60日間無料トライアルをお試しください。

Tenableブログを購読する

購読する
無料でお試し 今すぐ購入

Tenable.io を試す

60 日間無料

Enjoy full access to a modern, cloud-based vulnerability management platform that enables you to see and track all of your assets with unmatched accuracy. Sign up now.

Tenable.io を購入

最新のクラウドベースの脆弱性管理プラットフォームに完全にアクセスし、比類のない正確さですべての資産を表示および追跡できます。 年間サブスクリプションを今日お求めください。

65 資産

$2,190.00

今すぐ購入

無料でお試し 今すぐ購入

Nessus Professionalを無料で試す

7日間無料

Nessus®は、今日の市場で最も包括的な脆弱性スキャナです。Nessus Professional は脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルの時間を短縮化するため、ITチームに専念できます。

Nessus Professional を購入する

Nessus®は、今日の市場で最も包括的な脆弱性スキャナです。Nessus Professional は脆弱性のスキャンプロセスを自動化し、コンプライアンスサイクルの時間を短縮化するため、ITチームに専念できます。

複数年ライセンスを購入して節約しましょう

無料でお試し 今すぐ購入

Tenable.io Web Application Scanningをお試しください

60 日間無料

Enjoy full access to our latest web application scanning offering designed for modern applications as part of the Tenable.io platform. Safely scan your entire online portfolio for vulnerabilities with a high degree of accuracy without heavy manual effort or disruption to critical web applications. Sign up now.

Tenable.io Web Application Scanningを購入する

最新のクラウドベースの脆弱性管理プラットフォームに完全にアクセスし、比類のない正確さですべての資産を表示および追跡できます。 年間サブスクリプションを今日お求めください。

5 FQDNs

$3,578.00

今すぐ購入

無料でお試しください セールスにご連絡ください

Tenable.io Container Securityを試す

60 日間無料

脆弱性管理プラットフォームに統合された唯一のコンテナセキュリティ製品への完全なアクセスをお楽しみください。コンテナイメージの脆弱性、マルウェア、ポリシー違反を監視します。継続的インテグレーションと継続的デプロイメント(CI / CD)システムと統合し、DevOpsプラクティス、セキュリティ強化、および企業のポリシーコンプライアンスをサポートします。

Tenable.io Container Securityを購入する

Tenable.ioのContainer Securityは、ビルドプロセスとの統合により、コンテナイメージのセキュリティ(脆弱性、マルウェア、ポリシー違反など)を可視化し、シームレスかつ安全なDevOpsプロセスを実現します。

Industrial Securityについて

Tenable.sc のデモを入手

以下のフォームに連絡先をご記入ください。担当者からデモのスケジュールについてご連絡いたします。短いコメントもご記入いただけます(255文字まで)。 アスタリスク(*)の付いた欄は必須です。