Linux

Kubernetes tiene su primer fallo de seguridad, y uno gordo

Kubernetes, una herramienta que impulsa gran parte de la moderna infraestructura nativa en la nube, acaba de recibir su primer gran error de seguridad, y es un error gigantesco. La falla podría dar a un atacante acceso ilimitado a las aplicaciones de software que dependen de la herramienta para funcionar.

El equipo de Kubernetes anunció la falla como CVE-2018-1002105

Kubernetes

Kubernetes es una herramienta de software que gestiona un gran número de contenedores en la nube. Son similares a las máquinas virtuales que ejecutan múltiples sistemas operativos en el mismo equipo físico, pero tienen una diferencia clave. En lugar de albergar un sistema operativo completo, los contenedores albergan sólo lo que se necesita para que se ejecute una aplicación en particular (como dependencias de software, bibliotecas de sistema, etc.), mientras comparten un sistema operativo host con otros contenedores.

Los contenedores son entornos operativos pequeños y ágiles que están diseñados para funcionar de la misma manera en múltiples entornos informáticos, eliminando los problemas de los sistemas convencionales de aplicaciones en la nube. Las empresas pueden gestionar decenas o incluso cientos de miles de contenedores, y eso puede hacer que la implementación, actualización y gestión de todos ellos sea un gran reto. Ahí es donde entra en juego Kubernetes, que maneja los contenedores en grupos llamados vainas.

Kubernetes

El programa, que originalmente comenzó como un proyecto de código abierto de Google y ahora es administrado por la  Linux Foundation’s Cloud Native Computing Foundation (CNCF), tuvo su primera falla de seguridad conocida, que le da a un atacante un acceso profundo a una instalación de Kubernetes. Permite una petición especialmente diseñada para conectarse con los servidores de Kubernetes y hacer sus propias peticiones.

El equipo de Kubernetes anunció la falla como CVE-2018-1002105. La vulnerabilidad reside en el servidor de la API de Kubernetes – que es una herramienta de software que permite a los usuarios de Kubernetes enviar instrucciones a los pods de Kubernetes a través de una API HTTP (Interfaz de Programación de Aplicaciones) – y en la forma en que el servidor de la API se comunica con un pod de Kubernetes.

El servidor de la API autoriza las solicitudes de los usuarios mediante autenticación basada en certificados. Pero si el usuario envía una petición malformada diseñada para devolver un error, el servidor deja la línea de comunicación abierta y simplemente deja pasar las peticiones subsiguientes sin comprobar si el usuario está autorizado. Esto aumenta efectivamente los privilegios del usuario.

Te recomendamos la lectura:  Ya esta disponible la version release candidate de Linux 4.17

El fallo de seguridad fue solucionado

Kubernetes ya ha podido reparado el fallo, y los usuarios de sistemas que soportan parches automatizados ya deberían estar protegidos. Aquellos que no lo son, necesitan que sus instalaciones de Kubernetes sean parcheadas pronto.

Gustavo Gamarra

Soy operador de PC e instalador de redes informáticas , redactor y escritor en mis ratos libres. Amante de la tecnología, el cine, el fútbol y los videojuegos. Les escribo desde Buenos Aires, Argentina.

Publicaciones relacionadas

Deja una respuesta

Los datos de carácter personal que nos facilite mediante este formulario quedarán registrados en un fichero de Miguel Ángel Navas Carrera, con la finalidad de gestionar los comentarios que realizas en este blog. La legitimación se realiza a través del consentimiento del interesado. Si no se acepta no podrás comentar en este blog. Puedes consultar mi política de privacidad. Puede ejercitar los derechos de acceso, rectificación, cancelación y oposición en [email protected].

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Acepto la política de privacidad *

Botón volver arriba