Day: December 24, 2022

Kubernetes と Kyverno:コンテナ・イメージ検証/署名における深刻な脆弱性が FIX

Container Verification Bug Allows Malicious Images to Cloud Up Kubernetes

2022/12/24 DarkReading — Kyverno の Admission Controller for Container Images に存在する深刻なセキュリティ脆弱性により、クラウド・プロダクション環境へ向けて、悪意の行為者がに多数の不正コードを流し込める可能性があることが判明した。Kyverno Admission Controller は、署名/検証されたコンテナ・イメージのみが、所定の Kubernetes クラスタに取り込まれることを保証するために設計された、署名検証機構を提供している。つまり、暗号化されたコンテナ・イメージには、クリプトマイナ/ルートキット/コンテナ・エスケープ/横移動エクスプロイト・キット/クレデンシャル・スティーラーなどの、さまざまなペイロードが含まる可能性があるため、それらの悪意の行為を回避するための機能として利用されている。

Continue reading “Kubernetes と Kyverno:コンテナ・イメージ検証/署名における深刻な脆弱性が FIX”

Google 調査:クラウドの API 利用におけるセキュリティ問題

Google: With Cloud Comes APIs & Security Headaches

2022/12/24 DarkReading — Web Application Programming Interfaces (API) は、クラウド・アプリとインフラの統合という意味で重要な役割を担っている。しかし、これらのエンドポイントへの攻撃は日々増加しており、これまでの 12カ月間において、企業の半数が API 関連のセキュリティ・インシデントが発生したと認めている。Google Cloud が実施した調査によると、企業の API 利用に影響を与える、最も厄介なセキュリティ問題として挙げられるのは、セキュリティのミスコンフィグレーション/古い API やコンポーネント/スパムとボットによる侵害である。そして、40% の企業はミスコンフィグレーションによるインシデントに対して、33% 企業は後者の2つの問題に対して、取り組んでいるという。

Continue reading “Google 調査:クラウドの API 利用におけるセキュリティ問題”