Azure Kubernetes Service: Eskalering av rettigheter fra kompromittert node til klynge (CVE-2020-8559)

Publiseringsdato: 01 september, 2020

Hvis en angriper er i stand til å fange opp visse forespørsler til Kubelet i Azure Kubernetes Service (AKS), kan de sende et viderekoblingssvar som kan følges av en klient ved hjelp av legitimasjonen fra den opprinnelige forespørselen. Dette kan føre til kompromittering av andre noder.

Hvis flere klynger har samme sertifiseringsinstans som klienten har tillit til, og de samme godkjenningslegitimasjonene, kan dette sikkerhetsproblemet tillate en angriper å omdirigere klienten til en annen klynge. I denne konfigurasjonen skal dette sikkerhetsproblemet anses å være av høy alvorlighetsgrad.

Har jeg sikkerhetsproblemer?

Du påvirkes bare av dette sikkerhetsproblemet hvis du behandler noden som en sikkerhetsgrense, siden klynger i AKS ikke deler sertifiseringsinstanser og godkjenningslegitimasjon.

Merk at dette sikkerhetsproblemet krever at en angriper først kompromitterer en node på separate måter.

Påvirkede ** oppstrøms ** versjoner

  • kube-apiserver v1.18.0-1.18.5
  • kube-apiserver v1.17.0-1.17.8
  • kube-apiserver v1.16.0-1.16.12
  • alle versjoner av kube-apiserver før v1.16.0

Påvirkede ** AKS ** versjoner

AKS oppdaterer alle versjoner av kontrollplankomponentene til GA kubernetes automatisk.

  • kube-apiserver <v1.18.6
  • kube-apiserver <v1.17.7
  • kube-apiserver <v1.16.10
  • og alle versjoner av kube-apiserver før v1.15.11

Hvordan reduserer jeg dette sikkerhetsproblemet?

AKS vil oppdatere kontrollplanene for GA-versjonene sine automatisk. Hvis du bruker en AKS GA-versjon trenger du ikke gjøre noe.
Oppgrader hvis du ikke bruker en AKS GA-versjon.

Klikk her for alle detaljer, inkludert liste over versjonspåvirkede trinn og reduserende trinn.

  • Azure Kubernetes Service (AKS)
  • Security