Azure Kubernetes Service: Útok DoS na disk uzlu pomocí zápisu do souboru /etc/hosts kontejneru (CVE-2020-8557)
Datum publikování: 01 září, 2020
Soubor /etc/hosts, který je v podu připojený pomocí kubeletu, není zahrnut správcem vyřazení kubeletu při výpočtu přechodného využití úložiště podem. Pokud pod do souboru /etc/hosts zapisuje velké množství dat, může zaplnit prostor úložiště uzlu a způsobit selhání uzlu.
Hrozí mi ohrožení?
Jsou ovlivněné všechny clustery, které podům s dostatečnými oprávněními umožňují zapisovat do jejich vlastních souborů /etc/hosts. To zahrnuje kontejnery spuštěné s parametrem CAP_DAC_OVERRIDE v rámci jejich sady ohraničení funkcí (výchozí hodnota je true) a buď s UID 0 (root), nebo s kontextem zabezpečení s nastavením allowPrivilegeEscalation: true (výchozí hodnota je true).
Ovlivněné ** upstreamové ** verze
kubelet v1.18.0-1.18.5
kubelet v1.17.0-1.17.8
kubelet < v1.16.13
Jak zmírnit toto ohrožení zabezpečení?
Před upgradem je možné toto ohrožení zabezpečení zmírnit pomocí zásad, aby například nebylo možné vytvořit pody s nastavením allowPriviledgeEscalation: true
a zakázala se eskalace oprávnění a spuštění jako uživatel root, ale tato opatření můžou narušit stávající úlohy, které na tato oprávnění při své správné funkci spoléhají.
Další informace o zabezpečení podů s využitím Azure Policy
Podrobnější informace, včetně seznamu ovlivněných verzí a kroků pro omezení rizik, získáte kliknutím sem.