Servizio Azure Kubernetes: escalation dei privilegi dal nodo compromesso al cluster (CVE-2020-8559)

Data di pubblicazione: 01 settembre, 2020

Se un utente malintenzionato è in grado di intercettare determinate richieste a Kubelet nel servizio Azure Kubernetes, potrà inviare una risposta di reindirizzamento che potrebbe essere seguita da un client usando le credenziali dalla richiesta originale. Questo potrebbe compromettere gli altri nodi.

Se più cluster condividono la stessa autorità di certificazione ritenuta attendibile dal client e le stesse credenziali di autenticazione, questa vulnerabilità può consentire a un utente malintenzionato di reindirizzare il client a un altro cluster. In questa configurazione è consigliabile considerare questa vulnerabilità come di gravità elevata.

Sono vulnerabile?

Questa vulnerabilità influisce su di te solo se consideri il nodo come un limite di sicurezza, poiché i cluster nel servizio Azure Kubernetes non condividono le autorità di certificazione e le credenziali di autenticazione.

Nota che questa vulnerabilità richiede che un utente malintenzionato comprometta prima di tutto un nodo tramite altri mezzi.

Versioni ** upstream ** interessate

  • kube-apiserver v1.18.0-1.18.5
  • kube-apiserver v1.17.0-1.17.8
  • kube-apiserver v1.16.0-1.16.12
  • all kube-apiserver versions prior to v1.16.0

Versioni ** servizio Azure Kubernetes ** interessate

Il servizio Azure Kubernetes applica automaticamente patch a tutti i componenti del piano di controllo delle versioni di Kubernetes disponibili a livello generale.

  • kube-apiserver <v1.18.6
  • kube-apiserver <v1.17.7
  • kube-apiserver <v1.16.10
  • and all kube-apiserver versions prior to v1.15.11

Come posso attenuare questa vulnerabilità?

Il servizio Azure Kubernetes applicherà automaticamente patch ai piani di controllo delle rispettive versioni disponibili a livello generale. Se usi una versione del servizio Azure Kubernetes disponibile a livello generale, non devi eseguire alcuna azione.
Se non usi una versione del servizio Azure Kubernetes disponibile a livello generale, esegui l'aggiornamento.

Fai clic qui per visualizzare i dettagli completi, tra cui un elenco di versioni interessate e la procedura di mitigazione.

  • Servizio Azure Kubernetes
  • Security

Prodotti correlati