Azure Kubernetes Service: Denial-of-Service-Angriff auf Knotendatenträger durch Schreiben in den Container „/etc/hosts“ (CVE-2020-8557)

Veröffentlichungsdatum: 01 September, 2020

Die von einem Kubelet in einen Pod eingebundene Datei „etc/hosts“ wird vom Kubelet Eviction Manager bei der Berechnung der Auslastung des flüchtigen Speichers durch einen Pod nicht berücksichtigt. Wenn ein Pod große Datenmengen in die Datei „etc/hosts“ schreibt, wird möglicherweise der gesamte Speicherplatz des Knotens gefüllt, was zu einem Fehler im Knoten führt.

Besteht ein Risiko für meine Umgebung?

Es sind alle Cluster betroffen, die es Pods mit ausreichenden Berechtigungen erlauben, in ihre eigenen /etc/hosts-Dateien zu schreiben. Dazu gehören auch Container, die mit CAP_DAC_OVERRIDE im Capabilities-Einschränkungssatz (Standardeinstellung ist TRUE) sowie entweder mit „UID 0“ (Root) oder einem Sicherheitskontext mit „allowPrivilegeEscalation: true“ (Standardeinstellung ist TRUE) ausgeführt werden.

Betroffene **Upstream**-Versionen

kubelet v1.18.0-1.18.5
kubelet v1.17.0-1.17.8
kubelet < v1.16.13

Wie entschärfe ich dieses Sicherheitsrisiko?

Vor dem Upgrade kann dieses Sicherheitsrisiko mithilfe von Richtlinien entschärft werden, die eine Poderstellung mit allowPriviledgeEscalation: true verhindern. Zudem können Sie mit Richtlinien die Rechteausweitung sowie die Ausführung als Root verhindern. Diese Maßnahmen können aber zu Fehlern bei vorhandenen Workloads führen, für die diese Berechtigungen ordnungsgemäß funktionieren müssen.

Erfahren Sie mehr über das Sichern von Pods mit Azure Policy.

Klicken Sie hier, um alle Details anzuzeigen, einschließlich einer Liste der betroffenen Versionen und der entsprechenden Schritte zur Entschärfung.

  • Azure Kubernetes Service (AKS)
  • Security