Faille critique dans Kubernetes, des correctifs sont disponiblesCrédits : rkankaro/iStock

Ce logiciel open source permet de déployer et de gérer des applications conteneurisées. Le projet était initialement développé par Google, avant d'être transféré à la Cloud Native Computing Foundation en 2014.

Très populaire, notamment dans les grandes infrastructures, il vient de faire face à sa première grosse faille estampillée CVE-2018-1002105. Jugée critique, elle obtient un score CVSS de 9,8 sur 10.

Sur Github, Jordan Liggitt (Google, ex-Red Hat), explique qu'avec « une requête spécialement conçue, des utilisateurs autorisés à établir une connexion à un serveur principal via l'API Kubernetes peuvent ensuite envoyer des requêtes arbitraires », tout en restant identifiés.

« Il n'y a pas de moyen simple de détecter si cette vulnérabilité a été utilisée, étant donné que les demandes non autorisées sont effectuées via une connexion authentifiée, elles n'apparaissent pas dans les journaux », ajoute Jordan Liggitt.

« La faille d'élévation des privilèges permet à tout utilisateur de bénéficier des droits d'administrateur », résumé Red Hat. Des correctifs sont déjà disponibles pour Kubernetes, mais ils doivent maintenant être déployés par les nombreuses infrastructures exploitant ce logiciel.

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !