Когда многопользовательский режим дает сбой: подробный анализ первой уязвимости CVE от KCP — Марв...

Описание: Не пропустите! Присоединяйтесь к нам на следующих мероприятиях KubeCon + CloudNativeCon в Мумбаи, Индия (18-19 июня 2026 г.), Йокогаме, Япония (29-30 июля 2026 г.) и Шанхае, Китай (8-9 сентября 2026 г.). Познакомьтесь с нашими текущими проектами, находящимися на стадии завершения разработки, инкубации и в песочнице, пока сообщество собирается вместе для дальнейшего обучения и развития облачных вычислений. Узнайте больше на https://kubecon.io

Когда многопользовательская архитектура дает сбой: подробный анализ первой уязвимости CVE в Kcp — Марвин Беккерс, ClickHouse

kcp, проект CNCF Sandbox, представляет собой управляющую плоскость для обслуживания API в стиле Kubernetes, построенную на основе основных библиотек Kubernetes с сильным акцентом на многопользовательскую архитектуру. Но что происходит, когда изоляция, ключевой элемент многопользовательской архитектуры, начинает рушиться?


Познакомьтесь с уязвимостью CVE-2025-29922, первоначально оцененной как «средняя» по степени серьезности, но превратившейся в «высокосерьезную» (9,6 балла). Мы рассмотрим виртуальные рабочие пространства — функцию KCP, которая предоставляет поставщикам услуг «единый интерфейс» для просмотра и управления своими ресурсами в различных клиентах. Однако недостаток реализации заключался в том, что поставщики услуг могли создавать и удалять ресурсы, к которым у них не было прав доступа.

В этом подробном обзоре мы продемонстрируем, как безобидная на вид уязвимость, обнаруженная из-за несоответствия между документацией и кодом, может привести к полному захвату доступа к клиентам и их данным. Мы покажем полный ход мыслей, лежащий в основе обнаружения этого вектора атаки. В конце мы расскажем о мерах, которые мы предприняли для защиты пользователей KCP.