Servizio Azure Kubernetes: Denial of Service del disco del noto tramite scrittura in /etc/hosts (CVE-2020-8557) del contenitore
Data di pubblicazione: 01 settembre, 2020
Il file /etc/hosts montato in un pod da Kubelet non è incluso dallo strumento di rimozione di Kubelet durante il calcolo dell'utilizzo delle risorse di archiviazione temporanea da parte di un pod. Se un pod scrive una quantità elevata di dati nel file /etc/hosts, può riempire lo spazio di archiviazione del nodo e provocare un errore del nodo.
Sono vulnerabile?
Sono interessati tutti i cluster che consentono a pod con privilegi sufficienti di scrivere nei rispettivi file /etc/hosts, inclusi i contenitori in esecuzione con CAP_DAC_OVERRIDE nel rispettivo set di delimitazione delle funzionalità (true per impostazione predefinita) e UID 0 (radice) o un contesto di sicurezza con allowPrivilegeEscalation: true (true per impostazione predefinita).
Versioni ** upstream ** interessate
kubelet v1.18.0-1.18.5
kubelet v1.17.0-1.17.8
kubelet < v1.16.13
Come posso attenuare questa vulnerabilità?
Prima dell'aggiornamento, questa funzionalità può essere attenuata tramite criteri per non consentire la creazione di pod con allowPriviledgeEscalation: true
, ad esempio, e impedire l'escalation dei privilegi e l'esecuzione come radice, ma queste misure possono provocare interruzioni per i carichi di lavoro esistenti che si basano si questi privilegi per funzionare correttamente.
Scopri di più sulla protezione dei pod con Criteri di Azure.
Fai clic qui per visualizzare i dettagli completi, tra cui un elenco di versioni interessate e la procedura di mitigazione.