Ignora esplorazione

Servizio Azure Kubernetes: Denial of Service del disco del noto tramite scrittura in /etc/hosts (CVE-2020-8557) del contenitore

Data di pubblicazione: 01 settembre, 2020

Il file /etc/hosts montato in un pod da Kubelet non è incluso dallo strumento di rimozione di Kubelet durante il calcolo dell'utilizzo delle risorse di archiviazione temporanea da parte di un pod. Se un pod scrive una quantità elevata di dati nel file /etc/hosts, può riempire lo spazio di archiviazione del nodo e provocare un errore del nodo.

Sono vulnerabile?

Sono interessati tutti i cluster che consentono a pod con privilegi sufficienti di scrivere nei rispettivi file /etc/hosts, inclusi i contenitori in esecuzione con CAP_DAC_OVERRIDE nel rispettivo set di delimitazione delle funzionalità (true per impostazione predefinita) e UID 0 (radice) o un contesto di sicurezza con allowPrivilegeEscalation: true (true per impostazione predefinita).

Versioni ** upstream ** interessate

kubelet v1.18.0-1.18.5
kubelet v1.17.0-1.17.8
kubelet < v1.16.13

Come posso attenuare questa vulnerabilità?

Prima dell'aggiornamento, questa funzionalità può essere attenuata tramite criteri per non consentire la creazione di pod con allowPriviledgeEscalation: true, ad esempio, e impedire l'escalation dei privilegi e l'esecuzione come radice, ma queste misure possono provocare interruzioni per i carichi di lavoro esistenti che si basano si questi privilegi per funzionare correttamente.

Scopri di più sulla protezione dei pod con Criteri di Azure.

Fai clic qui per visualizzare i dettagli completi, tra cui un elenco di versioni interessate e la procedura di mitigazione.

  • Servizio Azure Kubernetes
  • Security

Prodotti correlati