Pomiń nawigację

Usługa Azure Kubernetes Service: Odmowa usługi dysku węzła przez zapisanie w pliku /etc/hosts kontenera (CVE-2020-8557)

Data opublikowania: 01 września, 2020

Plik /etc/hosts zainstalowany w zasobniku przez składnik kubelet nie jest uwzględniany przez menedżera eksmisji składnika kubelet podczas obliczania użycia magazynu efemerycznego przez zasobnik. Jeśli zasobnik zapisuje dużą ilość danych w pliku /etc/hosts, może to spowodować zapełnienie miejsca w magazynie węzła i awarię węzła.

Czy problem może wystąpić w moim środowisku?

Problem dotyczy wszystkich klastrów, które zezwalają zasobnikom o wystarczających uprawnieniach na zapisywanie w ich plikach /etc/hosts. Obejmuje to kontenery działające z opcją CAP_DAC_OVERRIDE w zestawie ograniczającym możliwości (domyślnie wartość true) oraz opcją UID 0 (główny) lub kontekstem zabezpieczeń z opcją allowPrivilegeEscalation o wartości true (domyślnie wartość true).

**Nadrzędne** wersje, których to dotyczy

Składnik kubelet w wersji 1.18.0–1.18.5
Składnik kubelet w wersji 1.17.0–1.17.8
Składnik kubelet w wersji wcześniejszej niż 1.16.13

Jak mogę wyeliminować tę lukę w zabezpieczeniach?

Przed uaktualnieniem tę lukę w zabezpieczeniach można wyeliminować, używając zasad na przykład do zablokowania możliwości tworzenia zasobników z opcją allowPriviledgeEscalation: true oraz uniemożliwienia eskalacji uprawnień i uruchamiania jako użytkownik główny. Jednak może to spowodować uszkodzenie istniejących obciążeń, których prawidłowe działanie opiera się na tych uprawnieniach.

Dowiedz się więcej o zabezpieczaniu zasobników przy użyciu usługi Azure Policy.

Kliknij tutaj, aby uzyskać pełne szczegóły, w tym listę wersji, których dotyczy problem, oraz kroki zaradcze.

  • Azure Kubernetes Service (AKS)
  • Security