Ce logiciel open source permet de déployer et de gérer des applications conteneurisées. Le projet était initialement développé par Google, avant d'être transféré à la Cloud Native Computing Foundation en 2014.

Très populaire, notamment dans les grandes infrastructures, il vient de faire face à sa première grosse faille estampillée CVE-2018-1002105. Jugée critique, elle obtient un score CVSS de 9,8 sur 10.

Sur Github, Jordan Liggitt (Google, ex-Red Hat), explique qu'avec « une requête spécialement conçue, des utilisateurs autorisés à établir une connexion à un serveur principal via l'API Kubernetes peuvent ensuite envoyer des requêtes arbitraires », tout en restant identifiés.

« Il n'y a pas de moyen simple de détecter si cette vulnérabilité a été utilisée, étant donné que les demandes non autorisées sont effectuées via une connexion authentifiée, elles n'apparaissent pas dans les journaux », ajoute Jordan Liggitt.

« La faille d'élévation des privilèges permet à tout utilisateur de bénéficier des droits d'administrateur », résumé Red Hat. Des correctifs sont déjà disponibles pour Kubernetes, mais ils doivent maintenant être déployés par les nombreuses infrastructures exploitant ce logiciel.