Azure Kubernetes Service: Útok DoS na disk uzlu pomocí zápisu do souboru /etc/hosts kontejneru (CVE-2020-8557)

Datum publikování: 01 září, 2020

Soubor /etc/hosts, který je v podu připojený pomocí kubeletu, není zahrnut správcem vyřazení kubeletu při výpočtu přechodného využití úložiště podem. Pokud pod do souboru /etc/hosts zapisuje velké množství dat, může zaplnit prostor úložiště uzlu a způsobit selhání uzlu.

Hrozí mi ohrožení?

Jsou ovlivněné všechny clustery, které podům s dostatečnými oprávněními umožňují zapisovat do jejich vlastních souborů /etc/hosts. To zahrnuje kontejnery spuštěné s parametrem CAP_DAC_OVERRIDE v rámci jejich sady ohraničení funkcí (výchozí hodnota je true) a buď s UID 0 (root), nebo s kontextem zabezpečení s nastavením allowPrivilegeEscalation: true (výchozí hodnota je true).

Ovlivněné ** upstreamové ** verze

kubelet v1.18.0-1.18.5
kubelet v1.17.0-1.17.8
kubelet < v1.16.13

Jak zmírnit toto ohrožení zabezpečení?

Před upgradem je možné toto ohrožení zabezpečení zmírnit pomocí zásad, aby například nebylo možné vytvořit pody s nastavením allowPriviledgeEscalation: true a zakázala se eskalace oprávnění a spuštění jako uživatel root, ale tato opatření můžou narušit stávající úlohy, které na tato oprávnění při své správné funkci spoléhají.

Další informace o zabezpečení podů s využitím Azure Policy

Podrobnější informace, včetně seznamu ovlivněných verzí a kroků pro omezení rizik, získáte kliknutím sem.

  • Azure Kubernetes Service (AKS)
  • Security

Související produkty