Kubernetes проект исправил записи о трех неисправленных уязвимостях CVE, что повысит уровень безопасности и точность сканирования уязвимостей для администраторов кластеров. Корректировка коснется CVE-2020-8561, CVE-2020-8562 и CVE-2021-25740 и вступит в силу 1 июня 2026 года.
Характер уязвимостей и их влияние
Все три уязвимости были ранее публично раскрыты, но лишь недавно выяснилось, что записи CVE содержат неверную информацию о версиях, где они были исправлены. Например, CVE-2020-8561 позволяет злоумышленникам перенаправлять запросы API-клиентов. Аналогичная ситуация наблюдается у CVE-2020-8562, где возможно обход IP-ограничений, а CVE-2021-25740 подвержен ручному указанию IP-адресов для маршрутизации трафика между пространствами имен.
Работа над уязвимостями
Кубернетес-команда объясняет, что исправления не будут предложены для вышеупомянутых уязвимостей. Поправка архитектурных недостатков требует серьезного изменения функциональности системы, что может негативно повлиять на работу ряда интеграций. Вместо этого были предложены временные меры по их смягчению.
Таким образом, установки уровня логирования для kube-apiserver и локальные DNS-кэши могут помочь минимизировать риски. Например, для CVE-2020-8561 рекомендуется установить уровень логирования ниже 10, чтобы предотвратить логирование ответов.
Значение для разработчиков и администраторов
Корректировка записей CVE имеет важное значение для обеспечения точности и надежности современных сканеров уязвимостей. Пользователи должны быть проинформированы о том, что уязвимости остаются нефиксированы и требуют принятия мер безопасности. Это особенно актуально для администраторов облачных решений, находящихся под давлением защищенности.
Следующий шаг за Kubernetes — продолжать активно отслеживать и защищать кластерные решения, а также информировать общественность о любых изменениях в статусе уязвимостей.