CNCF startet offizielles Bug-Bounty-Programm für Kubernetes

15. Januar 2020, 14:33
  • security
  • lücke
  • kubernetes
  • channel
image

Erfolgreiche Käferjäger können Belohnungen bis zu 10'000 Dollar einheimsen.

Die Cloud Native Computing Foundation (CNCF) hat ein offizielles Bug-Bounty-Programm für die Container-Orchestrierungssoftware Kubernetes lanciert. Google, wo Kubernetes ursprünglich entwickelt wurde, hat geholfen, das Programm auf die Beine zu stellen. Konkret verwaltet wird es von HackerOne.
Die Belohnungen für das Finden von Schwachstellen bewegen sich zwischen 100 Dollar und 10'000 Dollar. Die Höhe hängt hauptsächlich davon ab, als wie schwerwiegend eine gemeldete Schwachstelle von den Experten eingestuft wird. Das zweite Kriterium ist, wo die Schwachstelle liegt. Am höchsten ist die Belohnung, wenn die Schwachstelle im Kubernetes-Kern gefunden wird. Mehr dazu erfährt man auf der Website des Bug-Bounty-Programms
Kubernetes wurde ursprünglich von Google-Leuten entwickelt. 2015 veröffentlichte Google Kubernetes als Open-Source-Software und übergab das Projekt der CNCF, die ihrerseits zur Linux Foundation gehört. Trotzdem ist Google weiterhin stark an der Weiterentwicklung der Software beteiligt. Wenn Angreifer schwere ungepatchte Schwachstellen in Kubernetes ausnützen könnten, würde dies daher auch dem Image des Internetriesen schaden.
Im Rahmen des Bug-Bounty-Programms gefundene Sicherheitslücken sollen jeweils erst öffentlich bekannt gemacht werden, wenn Patches dafür bereitstehen.

Auch Supply-Chain-Schwachstellen im Visier

Wie Google in einem Blogpost schreibt ist man einerseits interessiert an Schwachstellen, wie man sie gewöhnlich auch in anderer Software findet. Dazu gehören Lücken, die es Angreifern ermöglichen, eigenen Code auszuführen, Privilegien auszuweiten oder Bugs bei der Authentisierung und Authorisierung.
De es sich bei Kubernetes um ein Open-Source-Projekt handelt, an dem viele Seiten mitarbeiten, ist man auch besonders an Schwachstellen in Build- und Release-Prozessen interessiert. Solche Probleme können es Angreifern ermöglichen, eine Supply-Chain-Attacke durchzuführen und eigenen Code in Open-Source-Programme einzuschleusen.

Loading

Mehr zum Thema

image

Cybersecurity bei EY

Mit dem Cybersecurity Team unterstützen wir bei EY unsere Kundinnen und Kunden bei der Risikominimierung von Cyberangriffen.

image

Frédéric Weill übergibt OpenWT in neue Hände

Beim IT-Berater übernimmt Swisscom sämtliche Anteile. Anfang nächstes Jahr kommt mit Pierre Grydbeck ein neuer CEO.

publiziert am 3.10.2022
image

Ransomware-Bande meldet Angriff auf Ferrari

Die Gruppe Ransomexx hat angeblich erbeutete Dateien veröffentlicht. Der Automobilhersteller erklärt, keine Beweise für eine Verletzung seiner Systeme zu haben.

publiziert am 3.10.2022
image

IT-Firma der Stadt Wetzikon ist privatisiert

Die Stadt hat ihr IT-Unternehmen an das bisherige Management verkauft. Dies soll dem RIZ mehr Flexibilität für die weitere Entwicklung geben.

publiziert am 3.10.2022