Azure Kubernetes Service: ataque DOS en el disco de un nodo escribiendo en el archivo /etc/hosts de un contenedor (CVE-2020-8557)

Fecha de publicación: 01 septiembre, 2020

El archivo /etc/hosts que el kubelet monta en un pod no lo incluye el administrador de expulsiones del kubelet cuando calcula el uso de almacenamiento efímero por parte de un pod. Si un pod escribe una gran cantidad de datos en el archivo /etc/hosts, podría llenar el espacio de almacenamiento del nodo y hacer que este deje de funcionar.

¿Soy vulnerable?

Todos los clústeres que permitan que pods con privilegios suficientes escriban en sus archivos /etc/hosts pueden verse afectados. Esto incluye los contenedores que se ejecutan con CAP_DAC_OVERRIDE en su conjunto limitado de características (true de forma predeterminada) y con UID 0 (raíz) o un contexto de seguridad con allowPrivilegeEscalation: true (true de forma predeterminada).

Versiones **ascendentes**afectadas

kubelet v1.18.0-1.18.5
kubelet v1.17.0-1.17.8
kubelet < v1.16.13

¿Cómo se puede mitigar esta vulnerabilidad?

Antes de la actualización, esta vulnerabilidad se puede mitigar usando directivas para no permitir la creación de pods con allowPriviledgeEscalation: true, por ejemplo, y prohibir la elevación de privilegios y la ejecución como raíz, pero estas medidas pueden interrumpir las cargas de trabajo actuales que dependen de esos privilegios para funcionar correctamente.

Más información acerca de los pods seguros con Azure Policy.

Haga clic aquí para obtener información completa, incluida la lista de versiones afectadas y los pasos para la mitigación.

  • Azure Kubernetes Service (AKS)
  • Security

Productos relacionados