Уязвимости в Kubernetes позволяют обойти аутентификацию и провести DoS-атаки

Разработчики открытого программного обеспечение Kubernetes для автоматизации развертывания, масштабирования и управления контейнеризированными приложениями исправили две опасные уязвимости (CVE-2019-16276 и CVE-2019-11253) с выпуском новых версий Kubernetes 1.14.8, 1.15.5 и 1.16.2.

По словам исследователей из компании Palo Alto Networks, эксплуатация первой проблемы (CVE-2019-16276) является «очень простой» и позволяет злоумышленнику обойти механизмы аутентификации для доступа к контейнеру. Уязвимость содержится в стандартной HTTP-библиотеке net/http, которая используется для анализа HTTP-запросов.

«HTTP-запросы состоят из имени поля, за которым следует двоеточие, а затем его значения, однако между именем поля заголовка и двоеточием не должно быть пробелов. Библиотека net/http же интерпретировала заголовки с таким пробелом как действительные, нарушая HTTP RFC», — пояснили исследователи.

По словам исследователей, сервер Kubernetes API можно «настроить для работы с прокси-сервером аутентификации и идентификации пользователей по заголовкам запросов». Из-за данной ошибки прокси-сервер может игнорировать недопустимые заголовки и перенаправлять их на сервер Go в любом случае, определяя их как допустимые. Таким образом, злоумышленники могут эксплуатировать уязвимость для аутентификации любого пользователя, создав недействительный заголовок, который будет передаваться на сервер.

Пользователям, использующим Kubernetes с прокси-сервером аутентификации, разработчики рекомендуют обновить версию Go до 1.12.10, исправляющую данную проблему.

Вторая уязвимость (CVE-2019-11253) содержится в библиотеке синтаксического анализатора YAML, которая представляет собой сторонний фрагмент кода, включенный в Kubernetes. Она подвергает сервер API Kubernetes риску DoS-атак. Атака может быть нацелена на функцию синтаксического анализа YAML/JSON с помощью метода «бомбардировки YAML/JSON».