Azure Kubernetes Service: Eskalace oprávnění z ohroženého uzlu do clusteru (CVE-2020-8559)

Datum publikování: 01 září, 2020

Pokud útočník může zachytit určité požadavky na Kubelet v rámci služby Azure Kubernetes Service (AKS), může poslat odpověď přesměrování, kterou může klient sledovat pomocí přihlašovacích údajů z původního požadavku. To může vést k ohrožení bezpečnosti dalších uzlů.

Pokud více clusterů sdílí stejnou certifikační autoritu, které klient důvěřuje, a stejné přihlašovací údaje, může tato chyba zabezpečení umožnit útočníkovi přesměrovat klienta do jiného clusteru. V této konfiguraci by měla být tato chyba zabezpečení považována za vysoce závažnou.

Hrozí mi ohrožení?

Toto ohrožení zabezpečení se vás týká jenom v případě, že uzel považujete za hranici zabezpečení, protože clustery v AKS nesdílejí certifikační autority a přihlašovací údaje pro ověřování.

Všimněte si, že toto ohrožení zabezpečení vyžaduje, aby útočník nejdříve napadl uzel jinými prostředky.

Ovlivněné ** upstreamové ** verze

  • kube-apiserver v1.18.0-1.18.5
  • kube-apiserver v1.17.0-1.17.8
  • kube-apiserver v1.16.0-1.16.12
  • všechny verze kube-apiserver před verzí 1.16.0

Ovlivněné verze ** AKS **

AKS opraví všechny komponenty řídicí roviny všech verzí GA Kubernetes automaticky.

  • kube-apiserver <v1.18.6
  • kube-apiserver <v1.17.7
  • kube-apiserver <v1.16.10
  • všechny verze kube-apiserver před verzí 1.15.11

Jak zmírnit toto ohrožení zabezpečení?

AKS bude automaticky opravovat řídicí roviny svých verzí GA. Pokud používáte AKS ve verze GA, není vyžadována žádná akce.
Pokud nepoužíváte AKS ve verzi GA, upgradujte prosím.

Podrobnější informace, včetně seznamu ovlivněných verzí a kroků pro omezení rizik, získáte kliknutím sem.

  • Azure Kubernetes Service (AKS)
  • Security

Související produkty