Spring over navigation

Azure Kubernetes Service: Eskalering af rettigheder fra beskadiget node til klynge (CVE-2020-8559)

Dato for publicering: 01 september, 2020

Hvis en hacker kan opsnappe bestemte anmodninger til Kubelet i Azure Kubernetes Service (AKS), kan vedkommende sende et omdirigeringssvar, som kan blive fulgt af en klient ved hjælp af legitimationsoplysningerne fra den oprindelige anmodning. Det kan medføre, at andre noder beskadiges.

Hvis flere klynger deler samme nøglecenter, som klienten har tillid til, og de samme legitimationsoplysninger til godkendelse, kan denne sikkerhedsrisiko gøre det muligt for en hacker at omdirigere klienten til en anden klynge. I denne konfiguration bør sikkerhedsrisikoen anses for at være høj.

Er jeg sårbar?

Du påvirkes kun af denne sikkerhedsrisiko, hvis du behandler noden som en sikkerhedsgrænse, da klynger i AKS ikke deler nøglecentre og legitimationsoplysninger til godkendelse.

Bemærk, at denne sikkerhedsrisiko kræver, at en hacker først kompromitterer en node separat.

Berørte ** upstreamversioner

  • kube-apiserver v1.18.0-1.18.5
  • kube-apiserver v1.17.0-1.17.8
  • kube-apiserver v1.16.0-1.16.12
  • alle kube-apiserver-versioner, der er ældre end v1.16.0

Berørte ** AKS-versioner

AKS retter automatisk alle kontrolniveaukomponenter i generelt tilgængelige Kubernetes-versioner.

  • kube-apiserver <v1.18.6
  • kube-apiserver <v1.17.7
  • kube-apiserver <v1.16.10
  • og alle kube-apiserver-versioner, der er ældre end v1.15.11

Hvordan afhjælper jeg denne sikkerhedsrisiko?

AKS retter automatisk kontrolniveauerne for de generelt tilgængelige versioner. Hvis du bruger en generelt tilgængelig AKS-version, skal du ikke foretage dig noget.
Hvis du ikke anvender en generelt tilgængelig AKS-version, skal du opgradere.

Klik her for at få alle oplysninger, herunder en liste over berørte versioner og afhjælpningstrin.

  • Azure Kubernetes Service (AKS)
  • Security