Уязвимость утилиты kubelet программного средства управления кластерами виртуальных машин Kubernetes для операционных систем Windows связана с некорректно используемыми стандартными разрешениями. Эксплуатация уязвимости может позволить нарушителю изменить информацию, хранящуюся в журналах контейнеров
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- настройка прав доступа к журналам контейнеров с помощью Windows ACLs (Access Control Lists);
- отключение/удаление неиспользуемых учётных записей пользователей;
- ограничение доступа к Windows нодам, путем выделения их в отдельный сегмент сети;
- ограничение доступа к кластеру из внешних сетей (Интернет);
- использование средств межсетевого экранирования для ограничения возможности удаленного доступа;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).
Использование рекомендаций производителя:
https://groups.google.com/g/kubernetes-security-announce/c/81c0BHkKNt0
https://github.com/kubernetes/kubernetes/issues/126161
https://kubernetes.io/docs/tasks/administer-cluster/cluster-upgrade/
| Балл | 5.2 — средняя опасность |