Hopp over navigasjon
TILGJENGELIG NÅ

CNI-sikkerhetsproblem i eldre AKS-klynger og reduksjonstrinn

Publiseringsdato: 01 juni, 2020

Det er identifisert et sikkerhetsproblem i implementeringen av beholdernettverk (CNI) i versjonene v0.8.6 og eldre av CNI-programtilleggene, som kan påvirke eldre AKS-klynger (CVE-2020-10749).

Detaljer

En AKS-klynge som er konfigurert til å bruke en berørt implementering av beholdernettverk, er mottakelig for mellommannbasert (MitM) angrep. En skadelig beholder kan ved å sende «useriøse» ruterannonser konfigurere verten på nytt, for å omdirigere deler av eller hele IPv6-trafikken til verten for den angriperkontrollerte beholderen. Selv om det ikke var noen IPv6-trafikk før, vil mange HTTP-biblioteker – hvis DNS sender tilbake oppføringer for A (IPv4) og AAAA (IPv6) – prøve å koble seg til via IPv6 først og deretter falle tilbake til IPv4, noe som gir angriperen mulighet til å svare.

Dette sikkerhetsproblemet har fått en innledende alvorlighetsgrad på Medium, med en poengsum på 6,0.

Analyse og kontroll av sikkerhetsproblem

Alle AKS-klynger som er opprettet eller oppgradert med en versjon av nodebilde senere eller lik «2019.04.24», har ikke sikkerhetsproblem, da de satte net.ipv6.conf.all.accept_ra til 0 og håndhever lokalt trådlager med riktig sertifikatvalidering.

Klynger opprettet eller sist oppgradert før den datoen er mottagelige for dette sikkerhetsproblemet.

Du kan kontrollere om det nåværende nodebildet ditt har et sikkerhetsproblem ved å kjøre: https://aka.ms/aks/MitM-check-20200601 på en maskin som har tilgang via kommandolinjegrensesnitt til klyngens noder.

Noder for Windows er ikke påvirket av dette sikkerhetsproblemet.

Reduksjon

Hvis du identifiserer noder som er sårbare, kan du redusere sikkerhetsproblemet ved å utføre en klyngeoppgradering ved å bruke følgende kommando:
$ az aks upgrade -n <cluster name> -g <cluster resource group> -k <newer supported kubernetes version>.

I tillegg er en permanent løsning for denne CVE tilgjengelig på: https://github.com/containernetworking/plugins/releases/tag/v0.8.6. AKS ruller ut denne løsningen på den nyeste versjonen av VHD.

Finn ut mer

 

  • Security