Azure Kubernetes Service: Csomópontlemezen zajló szolgáltatásmegtagadási támadás a /etc/hosts tárolóra való írással (CVE-2020-8557)
Közzététel dátuma: szeptember 01, 2020
A kubelet által a podba csatlakoztatott /etc/hosts fájl nem szerepel a kubelet kizáráskezelőben, amikor a pod ideiglenes tárhasználatának kiszámítása zajlik. Ha egy pod nagy mennyiségű adatot ír a /etc/hosts fájlba, akkor előfordulhat, hogy megtölti a csomópont tárhelyét, aminek következtében a csomópont működése leáll.
Ki vagyok téve kockázatnak?
Minden olyan fürt érintett, amely lehetővé teszi, hogy a megfelelő jogosultságokkal rendelkező podok írjanak saját /etc/hosts fájljukba. Ide tartoznak azok a tárolók, amelyeknél be van állítva a CAP_DAC_OVERRIDE a képességkorlátozó csoportban (ez alapértelmezés szerint igaz), és vagy az UID 0 (gyökér) vagy egy biztonsági környezet, amelyben az allowPrivilegeEscalation értéke igaz (alapértelmezés szerint igaz).
Érintett ** kiindulóverziók
kubelet v1.18.0–1.18.5
kubelet v1.17.0–1.17.8
kubelet < v1.16.13
Hogyan csökkenthetem a kockázatot?
A frissítés előtt ez a biztonsági rés olyan szabályzatokkal kerülhető el, amelyek tiltják a podok például az allowPriviledgeEscalation: igaz beállítással való létrehozását, illetve tiltják a jogosultságemelést és a gyökérként való futtatást, de ezek az intézkedések sikertelenné tehetik azokat a számítási feladatokat, amelyek csak akkor mennek végbe helyesen, ha a fenti jogosultságok megfelelően működnek.
További információ az Azure Policy révén biztonságos podokról.
Ide kattintva ismerheti meg a részleteket, köztük az érintett verziók listáját és a kockázatcsökkentés lépéseit.