Azure Kubernetes Service: Csomópontlemezen zajló szolgáltatásmegtagadási támadás a /etc/hosts tárolóra való írással (CVE-2020-8557)

Közzététel dátuma: szeptember 01, 2020

A kubelet által a podba csatlakoztatott /etc/hosts fájl nem szerepel a kubelet kizáráskezelőben, amikor a pod ideiglenes tárhasználatának kiszámítása zajlik. Ha egy pod nagy mennyiségű adatot ír a /etc/hosts fájlba, akkor előfordulhat, hogy megtölti a csomópont tárhelyét, aminek következtében a csomópont működése leáll.

Ki vagyok téve kockázatnak?

Minden olyan fürt érintett, amely lehetővé teszi, hogy a megfelelő jogosultságokkal rendelkező podok írjanak saját /etc/hosts fájljukba. Ide tartoznak azok a tárolók, amelyeknél be van állítva a CAP_DAC_OVERRIDE a képességkorlátozó csoportban (ez alapértelmezés szerint igaz), és vagy az UID 0 (gyökér) vagy egy biztonsági környezet, amelyben az allowPrivilegeEscalation értéke igaz (alapértelmezés szerint igaz).

Érintett ** kiindulóverziók

kubelet v1.18.0–1.18.5
kubelet v1.17.0–1.17.8
kubelet < v1.16.13

Hogyan csökkenthetem a kockázatot?

A frissítés előtt ez a biztonsági rés olyan szabályzatokkal kerülhető el, amelyek tiltják a podok például az allowPriviledgeEscalation: igaz beállítással való létrehozását, illetve tiltják a jogosultságemelést és a gyökérként való futtatást, de ezek az intézkedések sikertelenné tehetik azokat a számítási feladatokat, amelyek csak akkor mennek végbe helyesen, ha a fenti jogosultságok megfelelően működnek.

További információ az Azure Policy révén biztonságos podokról.

Ide kattintva ismerheti meg a részleteket, köztük az érintett verziók listáját és a kockázatcsökkentés lépéseit.

  • Azure Kubernetes Service (AKS)
  • Security

Kapcsolódó termékek