CERT-Bund warnt vor Schwachstellen in Kiali für OpenShift Service Mesh

Zusammenfassung der Sicherheitslage

Nach Angaben des CERT-Bund kann ein entfernter, anonymer Angreifer mehrere Schwachstellen in Kiali, dem Beobachtungs- und Management‑Tool für Red Hat OpenShift Service Mesh, ausnutzen. Die Ausnutzung ermöglicht das Erlangen erweiterter Privilegien, das Umgehen von Sicherheitsmaßnahmen, die Manipulation oder Offenlegung von Daten sowie die Herbeiführung eines Denial‑of‑Service‑Zustands.

Betroffene Softwarekomponente

Kiali ist ein integraler Bestandteil von OpenShift Service Mesh und stellt die Visualisierung sowie das Management von Service‑Mesh‑Ressourcen bereit. Die betroffenen Versionen umfassen die zum Zeitpunkt der Veröffentlichung bekannten Releases, die im Rahmen des Service Mesh eingesetzt werden.

Technische Details der Schwachstellen

Der Bericht identifiziert mehrere Schwachstellen, darunter Authentifizierungs‑ und Autorisierungsfehler, unzureichende Eingabevalidierung und fehlerhafte Zugriffskontrollen. Durch gezielte Anfragen kann ein Angreifer privilegierte Operationen ausführen, Sicherheitsrichtlinien umgehen oder Systemressourcen überlasten.

Mögliche Auswirkungen für Betreiber

Betreiber von OpenShift‑Umgebungen, die Kiali einsetzen, riskieren Datenverlust, unautorisierte Datenoffenlegung und Betriebsunterbrechungen. Der erweiterte Zugriff kann zudem zur Manipulation von Service‑Mesh‑Konfigurationen führen, was die gesamte Anwendungslandschaft gefährden kann.

Empfohlene Gegenmaßnahmen

Der CERT-Bund empfiehlt, die betroffenen Kiali‑Instanzen unverzüglich zu patchen oder auf die von Red Hat bereitgestellten Sicherheitspatches zu aktualisieren. Zusätzlich sollten Administratoren die Zugriffskontrollen überprüfen, nicht benötigte Netzwerkexpositionen einschränken und Monitoring‑Mechanismen aktivieren, um verdächtige Aktivitäten zu erkennen.

Weiterführende Informationen

Der vollständige Sicherheitshinweis ist unter der Referenznummer WID‑SEC‑2026‑1513 auf der Website des CERT‑Bund einsehbar. Betreiber werden aufgefordert, die dort bereitgestellten Anweisungen zu befolgen und bei Bedarf Rückfragen direkt an den CERT‑Bund zu richten.Dieser Bericht basiert auf Informationen von CERT-Bund, lizenziert unter Amtliches Werk gem. § 5 UrhG (Deutschland).