维护者补丁脆弱性,并提供有关影响牧场主拥有的对象的错误的缓解建议
更新现在是Rancher的版本开源一对软件开发人员发现了Kubernetes管理工具,在纯文本中存储了敏感值。
他们发现,剥削可能使攻击者能够获得对各种牧场主拥有的Kubernetes对象的特权访问权限。
牧场主在2020年被德国软件提供商Suse收购,在其中很受欢迎DevOps和Kubernetes社区。
该平台允许开发人员部署和运行来自不同提供商的Kubernetes容器集群。它还通过集中身份验证和基于角色的验证来增加价值访问控制到群集,这允许管理员从一个位置控制群集访问。
该错误是由Linux系统工程师Marco Stuurman和开发人员Florian击中的。Stuurman在调查牧场主的服务令牌时偶然发现了缺陷。斯图尔曼告诉每日swbeplay2018官网ig。
“我从我们的一个牧场主设置中获取了信息,并对代币感到怀疑。我有调查类似的令牌以前,这引起了我的注意。”
“问题在于低特权”
根据Stuurman的发现,Rancher在Kubernetes对象上直接将密码,API键和帐户令牌等敏感字段库存。
“以明文存储秘密确实是不好的做法,但有时需要。在这种情况下,您不能选择哈希秘密,因为这是群集的访问密钥。” Stuurman说。“问题在于访问此键所需的低特权。”
根据错误报告,任何有权访问某些Rancher拥有的Kubernetes对象的人都可以使用明文数据。
“攻击者只需要对群集牧场主管理的最小特权。例如,我们的监视机器人用户唯一的特权是从牧场主代理HTTP请求到目标群集中运行的监视实例。” Stuurman说。
保护您的群集
用于提供群集的服务帐户令牌特别重要,因为它具有最高的特权。在这种情况下,如果没有任何其他高级预防措施,则攻击者可以允许攻击者升级其特权并完全接管集群。
在评论中每日swbeplay2018官网ig牧场安全团队表示,将数据存储为库伯尼犬中的秘密对象,这是由于牧场主仍在早期开发时做出的一些初始建筑和缩放决定。它在最新版本的平台中进行了审查和解决。
安全团队说:“对问题的补救是我们开始实施的改进的直接结果,例如创建由安全工程师和开发人员组成的安全团队,以专注于与安全有关的问题和改进。”
推荐的#attachme oracle云错误暴露于数据盗窃,劫持
“我们还更改了发布过程,以在发布新功能之前进行安全架构审查和测试,并在我们的开发管道中启用更多以安全性为中心的工具。”
该问题已在最新版本的Rancher中解决。该项目的维护者提供了一个脚本来旋转牧场主服务帐户令牌。他们还建议管理员限制对牧场主实例的访问,检查其下游集群是否有违规迹象,并更改证书那可能已经泄漏了。
Stuurman说:“保护群集的最佳方法是将群集管理工具访问限制在您信任的人身上。”“但是,这并不意味着它不应该尽可能安全。”
本文于9月30日更新了牧场主的评论和更正,特别是为了反映以下事实:敏感的价值观而不是秘密是暴露的,并且剥削可能导致攻击者获得对牧场主拥有的对象的特权访问权限。
