Retour au blog
GoKubernetesCVE

Go et Kubernetes : pourquoi CVE-2018-1002105 reste une reference

Publié le 2026-04-117 min de lectureFlorian

Une faille critique au coeur du plan de controle

L annonce officielle Kubernetes de decembre 2018 decrit CVE-2018-1002105 comme un probleme critique dans le kube-apiserver. Un attaquant pouvait etablir une connexion a travers l API server vers des services backend, puis envoyer des requetes arbitraires sur cette connexion en profitant des credentials TLS de l API server.

Pour un CVE lie a Go, il est difficile de trouver un meilleur exemple de faille ecosystemique.

Pourquoi elle reste si importante

Kubernetes n est pas seulement un logiciel parmi d autres. C est une couche de controle d infrastructure. Quand le composant central de mediation et d autorisation est touche, l impact depasse largement une seule application.

La page officielle du feed CVE Kubernetes repertorie toujours CVE-2018-1002105 comme une reference du projet, ce qui en fait un point d ancrage utile meme en 2026.

Ce que cette faille dit du risque Go

Encore une fois, ce n est pas le langage qui est en cause. Go est tres present dans l infrastructure cloud-native. Cela veut dire qu une faille dans un grand composant Go touche souvent des couches de confiance plus sensibles que de simples pages web.

Avec Kubernetes, le danger potentiel porte sur le controle de cluster, l acces a des noeuds, les credentials, et la separation des privileges.

La vraie lecon

Les equipes qui disent nous sommes sur Kubernetes donc nous avons un socle mature doivent ajouter une nuance : la maturite de la plateforme ne remplace ni la veille, ni le patching, ni la revue de l exposition du plan de controle.

Une faille sur le chemin des proxys ou des connexions du control plane peut avoir un effet disproportionne.

Ce qu il faut verifier

  • les versions de cluster ;
  • l exposition de l API server ;
  • les flux proxy et aggregated API ;
  • les acces admin sur cluster anciens ou oublies ;
  • la vitesse de deploiement des patchs critiques.

    • Notre lecture

    Si vous voulez un CVE emblematique de l ecosysteme Go infrastructure, CVE-2018-1002105 est une excellente reference. Il montre que le risque maximal n est pas forcement dans le langage lui-meme, mais dans les logiciels Go qui tiennent les points de confiance les plus critiques de l infrastructure.

    Articles liés

    Trois analyses proches pour continuer la lecture sur la meme surface de risque.

    GoGrafana

    Go et Grafana : pourquoi CVE-2021-43798 reste un rappel utile

    CVE-2021-43798 a montre qu un produit Go largement deploie pouvait exposer des fichiers locaux via un path traversal. Voici pourquoi ce cas reste utile en 2026.

    2026-04-11 · 6 min de lecture
    JavaLog4j

    Java et Log4Shell : pourquoi CVE-2021-44228 reste la faille de reference

    Log4Shell a montre qu une simple bibliotheque Java pouvait devenir un risque systemique. Voici pourquoi CVE-2021-44228 reste la faille de reference de l ecosysteme Java.

    2026-04-11 · 7 min de lecture
    PHPDrupal

    PHP et Drupalgeddon2 : pourquoi CVE-2018-7600 reste un repere

    CVE-2018-7600 a marque durablement l ecosysteme PHP via Drupal. Voici pourquoi Drupalgeddon2 reste un repere quand on parle de failles critiques sur des CMS exposés.

    2026-04-11 · 6 min de lecture

    Sources

    Rédigé par Florian
    Revu le 2026-04-11

    Services associés

    Si ce sujet reflète un risque concret sur votre stack, voici les audits CleanIssue les plus pertinents.

    Revue Externe

    Obtenir rapidement une lecture claire de l'exposition réelle de votre produit.

    Audit Complet

    Documenter toutes les failles prioritaires et obtenir un vrai plan de remédiation.

    Suivi Récurrent

    Surveiller les nouvelles expositions quand votre stack évolue dans le temps.

    Besoin d'une revue externe de votre SaaS RH ?

    Expliquez votre produit, votre stack et votre contexte client. Nous revenons vers vous avec le bon niveau de revue.

    Parler de votre audit