Azure Kubernetes Service:セキュリティが侵害されたノードからクラスターへの特権エスカレーション (CVE-2020-8559)
公開日: 9月 01, 2020
攻撃者が Azure Kubernetes Service (AKS) 内の Kubelet に対する特定の要求を傍受できる場合、元の要求の資格情報を使用して、クライアントが従う可能性があるリダイレクト応答を送信することができます。これにより、他のノードのセキュリティが侵害される可能性があります。
クライアントによって信頼されている同じ証明機関と、同じ認証資格情報が複数のクラスターで共有されている場合、この脆弱性によって、攻撃者がクライアントを別のクラスターにリダイレクトできる可能性があります。この構成の場合、この脆弱性は重大度が高いと考える必要があります。
脆弱かどうかの判断
AKS のクラスターでは証明機関と認証資格情報が共有されないため、ノードをセキュリティ境界として扱う場合にのみ、この脆弱性の影響を受けます。
この脆弱性については、攻撃者が最初に別の手段によってノードのセキュリティを侵害する必要があることに注意してください。
影響を受ける ** アップストリーム ** バージョン
- kube-apiserver v1.18.0-1.18.5
- kube-apiserver v1.17.0-1.17.8
- kube-apiserver v1.16.0-1.16.12
- v1.16.0 より前のすべての kube-apiserver バージョン
影響を受ける ** AKS ** バージョン
AKS では、すべての GA Kubernetes バージョンのコントロール プレーン コンポーネントにパッチが自動的に適用されます。
- kube-apiserver v1.18.6 未満
- kube-apiserver v1.17.7 未満
- kube-apiserver v1.16.10 未満
- v1.15.11 より前のすべての kube-apiserver バージョン
この脆弱性の軽減方法
AKS では、GA バージョンのコントロール プレーンにパッチが自動的に適用されます。AKS GA バージョンを利用している場合は、何もする必要はありません。
AKS GA バージョンを利用していない場合は、アップグレードしてください。
影響を受けるバージョンの一覧と軽減手順を含む詳細については、こちらをクリックしてください。