Azure Kubernetes Service: Jogosultságemelés feltört csomópontról fürtre (CVE-2020-8559)
Közzététel dátuma: szeptember 01, 2020
Ha egy támadónak sikerül hozzáférnie a Kubelet felé küldött kérésekhez az Azure Kubernetes Service (AKS) környezetben, akkor elküldhet egy közvetlen kérést, melyet az eredeti kérésben szereplő hitelesítő adatokkal követhet egy ügyfél. Ez más csomópontokat is veszélyeztethet.
Ha több fürtnek is ugyanaz – az ügyfél által megbízhatónak ítélt – hitelesítésszolgáltatója, és ugyanazok a hitelesítő adatok tartoznak hozzá, akkor előfordulhat, hogy a támadó az ügyfelet egy másik fürtre irányítja át. Ebben a forgatókönyvben a biztonsági rés súlyosnak minősül.
Ki vagyok téve kockázatnak?
Önt csak akkor veszélyezteti ez a biztonsági rés, ha a csomópontot biztonsági határként kezeli, hiszen az AKS-ben lévő fürtöknek nem közös a hitelesítésszolgáltatója, és hitelesítő adataik sem azonosak.
Ez a biztonsági rés akkor jön létre, ha a támadó valamilyen módszerrel feltör egy csomópontot.
Érintett ** kiindulóverziók
- kube-apiserver v1.18.0–1.18.5
- kube-apiserver v1.17.0–1.17.8
- kube-apiserver v1.16.0–1.16.12
- az 1.16.0-s verzió előtti összes kube-apiserver
Érintett ** AKS-verziók
Az AKS automatikusan kijavítja az összes kubernetes GA-verzió vezérlősíkjának összetevőit.
- kube-apiserver <v1.18.6
- kube-apiserver <v1.17.7
- kube-apiserver <v1.16.10
- és az 1.15.11-es verzió előtti összes kube-apiserver
Hogyan csökkenthetem a kockázatot?
Az AKS automatikusan kijavítja a hozzá tartozó GA-verziók vezérlősíkját. Ha Ön AKS GA-verziót használ, nincs teendője.
Ha Ön nem AKS GA-verziót használ, akkor kérjük, frissítsen.
Ide kattintva ismerheti meg a részleteket, köztük az érintett verziók listáját és a kockázatcsökkentés lépéseit.