Azure Kubernetes Service: Nodedisk-DOS ved at skrive til objektbeholder /etc/hosts (CVE-2020-8557)

Dato for publicering: 01 september, 2020

/etc/hosts-filen, der er monteret i en pod af Kubelet, er ikke inkluderet i Kubelet-fjernelsesstyringen i forbindelse med beregningen af en pods kortvarige lagerforbrug. Hvis en pod skriver en stor mængde data til /etc/hosts-filen, kan den fylde lagerpladsen for noden og medføre, at noden mislykkes.

Er jeg sårbar?

Alle klynger, der giver pods med tilstrækkelige rettigheder lov til at skrive til deres egne /etc/hosts-filer, berøres. Dette omfatter objektbeholdere, der kører med CAP_DAC_OVERRIDE i grænsesættet for deres egenskaber (True som standard) og enten UID 0 (rod) eller en sikkerhedskontekst med allowPrivilegeEscalation: true (True som standard).

Berørte ** upstreamversioner

kubelet v1.18.0-1.18.5
kubelet v1.17.0-1.17.8
kubelet < v1.16.13

Hvordan afhjælper jeg denne sikkerhedsrisiko?

Før du opgraderer, kan sikkerhedsrisikoen afhjælpes ved at bruge politikker til at forhindre, at pods f.eks. oprettes med allowPrivilegeEscalation: true og til at forbyde eskalering af rettigheder og kørsel som rod, men disse målinger kan ødelægge eksisterende arbejdsbelastninger, der er baseret på disse rettigheder for at fungere korrekt.

Få mere at vide om Secure-pods med Azure Policy.

Klik her for at få alle oplysninger, herunder en liste over berørte versioner og afhjælpningstrin.

  • Azure Kubernetes Service (AKS)
  • Security