Выражение лица не сулило мудрости выражений ...

Детский крик из прихожей: ...

Аудит не выявил следов установки шпионских чипов в материнских платах Super Micro
Tue, 11 Dec 2018 22:07:09 +0300

Первая открытая реализация анклава для аппаратно изолированных окружений
Tue, 11 Dec 2018 13:47:41 +0300

Доля государственных фондов США в финансировании Tor снизилась с 85% до 51%
Tue, 11 Dec 2018 09:31:39 +0300

Голосование за поддержку Adobe Premiere в Linux
Mon, 10 Dec 2018 18:58:45 +0300

Microsoft официально объявил о переходе Edge на движок Chromium
Fri, 07 Dec 2018 12:11:50 +0300

Фонд СПО признал Hyperbola полностью свободным дистрибутивом
Fri, 07 Dec 2018 11:55:53 +0300

Mozilla подготовит версию Firefox, оптимизированную для архитектуры ARM64
Fri, 07 Dec 2018 09:44:39 +0300

Linux Foundation унифицирует инструментарий для проверки соблюдения открытых лицензий
Thu, 06 Dec 2018 14:15:47 +0300

Платформа Eclipse прекращает поддержку 32-разрядной архитектуры
Thu, 06 Dec 2018 10:55:16 +0300

Выпущен патч, решающий проблему с blq-mq в ядре Linux 4.19, которая приводит к потере данных
Wed, 05 Dec 2018 07:27:24 +0300

Microsoft открыл код WPF, Windows Forms и WinUI
Tue, 04 Dec 2018 21:34:15 +0300

Сообщество Handshake пожертвовало миллион долларов Фонду свободного ПО
Tue, 04 Dec 2018 11:39:44 +0300

Microsoft заменит Edge браузером на основе свободного движка Chromium
Tue, 04 Dec 2018 08:18:16 +0300

Компания NVIDIA открыла код движка симуляции физических процессов PhysX
Mon, 03 Dec 2018 23:48:01 +0300

Дополнения для обхода Paywall удалены из каталогов Chrome и Mozilla
Mon, 03 Dec 2018 09:04:08 +0300

Новости OPENNET
Новости

Состоялся релиз платформы оркестровки контейнеров Kubernetes 1.13, позволяющей как единым целым управлять кластером Linux-контейнеров, созданных с использованием таких инструментариев как Docker и rkt. В новой версии устранена критическая уязвимость (CVE-2018-1002105), позволяющая любому пользователю получить полный контроль за кластером изолированных контейнеров. Проблема также устранена в обновлениях 1.10.11, 1.11.5 и 1.12.3.

Для совершения атаки достаточно отправить через API специально оформленный запрос определения доступных бэкендов (discovery-запрос). Из-за ошибки данный тип запросов оставляет открытым сетевое соединение, что позволяет использовать сервер API (kube-apiserver) в качестве посредника для отправки запросов любому бэкенду, воспользовавшись соединением, установленным с сервером API. Соответственно, перенаправляемые через подобные соединения запросы будут обработаны бэкендом как внутренние запросы от сервера API, отправленные с использованием параметров аутентификации сервера API.

По умолчанию все аутентифицированные и неаутентифицированные пользователи Kubernetes имеют возможность отправки через API discovery-запросов, которых достаточно для совершения атаки. Таким образом, любой непривилегированный пользователь Kubernetes, имеющий доступ к API, может получить полный контроль за всей инфраструктурой, например, отправив запрос для выполнения своего кода на хосте. Кроме получения контроля за инфраструктурой Kubernetes уязвимость также может применяться для целевых атак на клиентов через манипуляцию размещёнными в облаке клиентскими сервисами.

Проблема проявляется во всех версиях Kubernetes, начиная с релиза 1.0. Всем администраторам Kubernetes рекомендуется срочно обновить свои системы до актуальных выпусков, а также провести аудит системных логов на предмет возможной вредоносной активности. В качестве обходного метода защиты от атак со стороны неавторизированных пользователей можно запретить анонимный доступ к API при помощи опции "--anonymous-auth=false" и отозвать права на выполнение операций exec/attach/portforward. Отдельно отмечается, что в логах Kubernetes атака с использованием неавторизированных запросов никак не фиксируется, поэтому определить была ли компрометация можно лишь по косвенным признакам.

Дополнение: опубликован рабочий прототип эксплоита.

Основные новшества Kubernetes 1.13:

  • Стабилизирован интерфейс CSI (Container Storage Interface), позволяющий создавать плагины для поддержки различных систем хранения. CSI предоставляет единый интерфейс для выделения места, прикрепления и монтирования хранилищ, дающий возможнсть поставлять плагины для интеграции с различными службами хранения без необходимости внесения изменений в кодовую базу Kubernetes;
  • По умолчанию задействован DNS-сервер CoreDNS, развиваемый под эгидой организации Linux Foundation. CoreDNS написан на языке Go и примечателен гибкой архитектурой на базе подключаемых плагинов. Например, через плагины реализованы такие специфичные функции, как обнаружение сервисов Kubernetes, накопление метрик для системы мониторинга Prometheus и интеграция с системой хранения конфигурации etcd;
  • Стабилизирован kubeadm, упрощённый интерфейс для управления кластером Kubernetes, позволяющий выполнять такие операции как создание и развёртывание кластера на имеющемся оборудовании, настройка базовых компонентов Kubernete, подключение и удаление узлов, выполнение операций обновления;
  • Представлен экспериментальный интерфейс для создания плагинов для интеграции со сторонними системами мониторинга;
  • Стабилизирован сервис Kubelet Device Plugin Registration, предоставляющий средства для доступа к Kubelet из плагинов;
  • Стабилизирован планировщик распределения контейнеров TAVS (Topology Aware Volume Scheduling), учитывающий топологию разделов Pod (учитывает ограничения, установленные для узлов и зон);
  • Перешли на стадию бета-тестирвоания APIServer DryRun, команда Kubectl Diff и возможность использования локальных (raw) блочных устройств в качестве хранилищ постоянных данных (Persistent Volume Source).

Напомним, что код Kubernetes написан на языке Go и распространяется под лицензией Apache 2.0. Проект изначально был создан компанией Google, но затем переведён на независимую площадку, курируемую организацией Linux Foundation. Платформа позиционируется как развиваемое сообществом универсальное решение, не привязанное к отдельным системам и способное работать с любыми приложениями в любых облачных окружениях.

Предоставляются функции для развёртывания и управления инфраструктурой, такие как ведение базы DNS, балансировка нагрузки,

распределение контейнеров по узлам кластера (миграция контейнеров в зависимости от изменения нагрузки и потребностей в сервисах), проверка работоспособности на уровне приложений, управление аккаунтами, обновление и динамическое масштабирование работающего кластера, без его остановки.

Возможно развёртывание групп контейнеров с выполнением операций обновлений и отмены изменений сразу для всей группы, а также логическое разбиение кластера на части с разделением ресурсов. Имеется поддержка динамической миграции приложений, для хранения данных которых могут применяться как локальные хранилища, так и сетевые системы хранения.

66.5022 75.6197 0.5882 9.6394

НОВОСТИ: Доступен пакетный менеджер GNU Guix 0.16 и дистрибутив GuixSD на ... Fri, 07 Dec 2018 10:30:48 +0300

Проект GNU опубликовал пакетный менеджер GNU Guix 0.16 и построенный на его основе дистрибутив GNU/Linux - GuixSD (Guix System Distribution). Отмечается, что, скорее всего, данный выпуск станет последним перед формированием знакового релиза 1.0, так как все основные цели уже достигнуты. Дистрибутив допускает установку как в качестве обособленной ОС в системах виртуализации и на обычном оборудовании, так и запуск в уже установленных типовых окружениях GNU/Linux. Для загрузки сформированы образы для установки на USB Flash и использования в QEMU (170 Мб). Поддерживается работа на архитектурах i686, x86_64, armv7, aarch64 и mips64el.

???????@Mail.ru Opera Firefox INFOBOX - хостинг Google Chrome