Azure Kubernetes Service: Node disk DOS ved å skrive til beholder /etc/hosts (CVE-2020-8557)
Publiseringsdato: 01 september, 2020
/etc/hosts-filen montert i en pod av kubelet er ikke inkludert av utkastingsadministratoren til kubelet ved beregning av kortvarig lagringsbruk av en pod. Hvis en pod skriver en stor mengde data til /etc/hosts-filen, kan den fylle lagringsplassen til noden og føre til at noden mislykkes.
Har jeg sikkerhetsproblemer?
Eventuelle klynger som tillater poder med tilstrekkelige privilegier til å skrive til sine egne /etc/hosts-filer vil påvirkes. Dette inkluderer beholdere som kjører med CAP_DAC_OVERRIDE i kapasitetsbegrensningssettene sine (sant som standard) og enten UID 0 (rot) eller en sikkerhetskontekst med allowPrivilegeEscalation: sann (sann som standard).
Påvirkede ** oppstrøms ** versjoner
kubelet v1.18.0-1.18.5
kubelet v1.17.0-1.17.8
kubelet < v1.16.13
Hvordan reduserer jeg dette sikkerhetsproblemet?
Før oppgradering kan dette sikkerhetsproblemet reduseres ved å bruke policyer for å tillate poder som skal opprettes med allowPriviledgeEscalation: sann. Dette til eksempel og for å forby eskalering av rettigheter og kjøring som root, men disse tiltakene kan bryte eksisterende arbeidsbelastninger som er avhengige av disse privilegiene for å fungere skikkelig.
Les mer om sikre poder med Azure Policy.
Klikk her for alle detaljer, inkludert liste over påvirkede versjoner og reduserende trinn.