ナビゲーションをスキップする

Azure Kubernetes Service:コンテナーの /etc/hosts に対する書き込みによるノード ディスクの DOS (CVE-2020-8557)

公開日: 9月 01, 2020

kubelet によってポッドにマウントされる /etc/hosts ファイルは、kubelet eviction manager が計算するポッドによる一時ストレージの使用率には含まれません。ポッドによって /etc/hosts ファイルに大量のデータが書き込まれる場合、ノードのストレージ スペースがいっぱいになり、ノードで障害が発生する可能性があります。

脆弱かどうかの判断

必要な特権を持つポッドによる自身の /etc/hosts ファイルへの書き込みが許可されているすべてのクラスターが影響を受けます。これには、ケーパビリティ バウンディング セットで CAP_DAC_OVERRIDE が指定されていて (既定で true)、UID 0 (root) または allowPrivilegeEscalation: true (既定で true) のセキュリティ コンテキストのいずれかで実行されているコンテナーが含まれます。

影響を受ける ** アップストリーム ** バージョン

kubelet v1.18.0-1.18.5
kubelet v1.17.0-1.17.8
kubelet v1.16.13 未満

この脆弱性の軽減方法

アップグレードする前に、たとえば allowPrivilegeEscalation: true が指定されたポッドが作成されないようにし、特権エスカレーションと root としての実行を禁止するポリシーを使用することで、この脆弱性を軽減できますが、これらの手段によって、正常な機能のためにこれらの特権が利用される既存のワークロードが中断する可能性があります。

Azure Policy を使用したポッドのセキュリティ保護に関する詳細をご覧ください

影響を受けるバージョンの一覧と軽減手順を含む詳細については、こちらをクリックしてください。

  • Azure Kubernetes Service (AKS)
  • Security