Azure Kubernetes Service: Node disk DOS ved å skrive til beholder /etc/hosts (CVE-2020-8557)

Publiseringsdato: 01 september, 2020

/etc/hosts-filen montert i en pod av kubelet er ikke inkludert av utkastingsadministratoren til kubelet ved beregning av kortvarig lagringsbruk av en pod. Hvis en pod skriver en stor mengde data til /etc/hosts-filen, kan den fylle lagringsplassen til noden og føre til at noden mislykkes.

Har jeg sikkerhetsproblemer?

Eventuelle klynger som tillater poder med tilstrekkelige privilegier til å skrive til sine egne /etc/hosts-filer vil påvirkes. Dette inkluderer beholdere som kjører med CAP_DAC_OVERRIDE i kapasitetsbegrensningssettene sine (sant som standard) og enten UID 0 (rot) eller en sikkerhetskontekst med allowPrivilegeEscalation: sann (sann som standard).

Påvirkede ** oppstrøms ** versjoner

kubelet v1.18.0-1.18.5
kubelet v1.17.0-1.17.8
kubelet < v1.16.13

Hvordan reduserer jeg dette sikkerhetsproblemet?

Før oppgradering kan dette sikkerhetsproblemet reduseres ved å bruke policyer for å tillate poder som skal opprettes med allowPriviledgeEscalation: sann. Dette til eksempel og for å forby eskalering av rettigheter og kjøring som root, men disse tiltakene kan bryte eksisterende arbeidsbelastninger som er avhengige av disse privilegiene for å fungere skikkelig.

Les mer om sikre poder med Azure Policy.

Klikk her for alle detaljer, inkludert liste over påvirkede versjoner og reduserende trinn.

  • Azure Kubernetes Service (AKS)
  • Security