Passer la navigation

Azure Kubernetes Service : déni de service de disque de nœud avec écriture dans le fichier /etc/hosts du conteneur (CVE-2020-8557)

Date de publication : 01 septembre, 2020

Le fichier /etc/hosts monté dans un pod par kubelet n’est pas inclus par le gestionnaire d’éviction kubelet lors du calcul de l’utilisation du stockage éphémère par un pod. Si un pod écrit une grande quantité de données dans le fichier /etc/hosts, il risque de remplir l’espace de stockage du nœud et de provoquer l’échec du nœud.

Suis-je vulnérable ?

Tous les clusters autorisant les modules avec des privilèges suffisants à écrire dans leurs propres fichiers /etc/hosts sont affectés. Cela comprend les conteneurs exécutés avec CAP_DAC_OVERRIDE dans leur ensemble de limites de fonctionnalités (true par défaut) et l’UID 0 (racine) ou un contexte de sécurité avec allowPrivilegeEscalation: true (true par défaut).

Versions **en amont** affectées

kubelet v1.18.0-1.18.5
kubelet v1.17.0-1.17.8
kubelet d’une version inférieure à v1.16.13

Comment faire pour atténuer cette vulnérabilité ?

Avant la mise à niveau, cette vulnérabilité peut être atténuée par l’utilisation de stratégies visant à interdire la création de pods avec allowPriviledgeEscalation: true par exemple, et à interdire l’élévation des privilèges et l’exécution en tant que root, mais ces mesures peuvent briser les charges de travail existantes qui dépendent de ces privilèges pour fonctionner correctement.

En savoir plus sur les pods sécurisés avec Azure Policy.

Cliquez ici pour obtenir des informations complètes, notamment la liste des versions affectées et les étapes d’atténuation.

  • Service Azure Kubernetes (AKS)
  • Security