Azure Kubernetes Service: Rechteausweitung vom einem kompromittierten Knoten auf den Cluster (CVE-2020-8559)

Veröffentlichungsdatum: 01 September, 2020

Wenn ein Angreifer in der Lage ist, bestimmte Anforderungen an das Kubelet in Azure Kubernetes Service (AKS) abzufangen, kann dieser Angreifer eine Umleitungsanforderung senden. Dieser Anforderung wiederum kann ein Client mit den Anmeldeinformationen der ursprünglichen Anforderung folgen. Dadurch können andere Knoten kompromittiert werden.

Wenn mehrere Cluster dieselbe Zertifizierungsstelle, der die Clients vertrauen, und dieselben Authentifizierungsinformationen verwenden, kann es einem Angreifer ermöglicht werden, den Client an einen anderen Cluster umzuleiten. In dieser Konfiguration sollte dieses Sicherheitsrisiko auf den Schweregrad „Hoch“ eingestuft werden.

Besteht ein Risiko für meine Umgebung?

Dieses Sicherheitsrisiko betrifft Sie nur, wenn Sie den Knoten als Sicherheitsgrenze verwenden, da Cluster in AKS nicht dieselben Zertifizierungsstellen und Authentifizierungsinformationen nutzen.

Beachten Sie, dass ein Angreifer einen Knoten bei dieser Sicherheitslücke zunächst auf einem anderen Weg kompromittieren muss.

Betroffene **Upstream**-Versionen

  • kube-apiserver v1.18.0-1.18.5
  • kube-apiserver v1.17.0-1.17.8
  • kube-apiserver v1.16.0-1.16.12
  • Alle kube-apiserver-Versionen vor v1.16.0

Betroffene **AKS**-Versionen

AKS patcht automatisch alle Steuerungsebenenkomponenten der allgemein verfügbaren Kubernetes-Versionen.

  • kube-apiserver <v1.18.6
  • kube-apiserver <v1.17.7
  • kube-apiserver <v1.16.10
  • Alle kube-apiserver-Versionen vor v1.15.11

Wie entschärfe ich dieses Sicherheitsrisiko?

AKS patcht automatisch die Steuerungsebenen der allgemein verfügbaren Versionen. Wenn Sie eine allgemein verfügbare AKS-Version verwenden, ist keine Aktion erforderlich.
Wenn Sie keine allgemein verfügbare AKS-Version verwenden führen Sie ein Upgrade durch.

Klicken Sie hier, um alle Details anzuzeigen, einschließlich einer Liste der betroffenen Versionen und der entsprechenden Schritte zur Entschärfung.

  • Azure Kubernetes Service (AKS)
  • Security