Eine seit Anfang Dezember bekannte Lücke in der Docker-Verwaltung Kubernetes mit der Kennzeichnung CVE-2018-1002105 ist laut einem
Eintrag auf Github geschlossen worden. Sie wurde mit einem CVSS-Wert von 9.8 als schwerwiegend eingestuft. Laut den Entwicklern könnten Benutzer, die berechtigt sind, eine Verbindung über den Kubernetes-API-Server zu einem Backend-Server herzustellen, mit einer speziell erstellten Anfrage beliebige Anfragen über dieselbe Verbindung direkt an dieses Backend senden, authentifiziert mit den TLS-Anmeldeinformationen des Kubernetes-API-Servers, die zum Aufbau der Backend-Verbindung verwendet werden. Dadurch könnten sie beispielsweise Code in laufende Applikation einschleusen.
Administratoren sollten ihre Installationen deshalb umgehend auf eine der mittlerweile bereinigten Versionen 1.10.11, 1.11.5, 1.12.3 und 1.13.0-rc.1 aktualisieren. Ob die Lücke bereits ausgenutzt wurde, können die Entwickler jedoch nicht sagen, weil die nicht autorisierten Anfragen über eine bereits bestehende Verbindung laufen und deshalb kaum Spuren hinterlassen.
(luc)