Usługa Azure Kubernetes Service: Odmowa usługi dysku węzła przez zapisanie w pliku /etc/hosts kontenera (CVE-2020-8557)
Data opublikowania: 01 września, 2020
Plik /etc/hosts zainstalowany w zasobniku przez składnik kubelet nie jest uwzględniany przez menedżera eksmisji składnika kubelet podczas obliczania użycia magazynu efemerycznego przez zasobnik. Jeśli zasobnik zapisuje dużą ilość danych w pliku /etc/hosts, może to spowodować zapełnienie miejsca w magazynie węzła i awarię węzła.
Czy problem może wystąpić w moim środowisku?
Problem dotyczy wszystkich klastrów, które zezwalają zasobnikom o wystarczających uprawnieniach na zapisywanie w ich plikach /etc/hosts. Obejmuje to kontenery działające z opcją CAP_DAC_OVERRIDE w zestawie ograniczającym możliwości (domyślnie wartość true) oraz opcją UID 0 (główny) lub kontekstem zabezpieczeń z opcją allowPrivilegeEscalation o wartości true (domyślnie wartość true).
**Nadrzędne** wersje, których to dotyczy
Składnik kubelet w wersji 1.18.0–1.18.5
Składnik kubelet w wersji 1.17.0–1.17.8
Składnik kubelet w wersji wcześniejszej niż 1.16.13
Jak mogę wyeliminować tę lukę w zabezpieczeniach?
Przed uaktualnieniem tę lukę w zabezpieczeniach można wyeliminować, używając zasad na przykład do zablokowania możliwości tworzenia zasobników z opcją allowPriviledgeEscalation: true oraz uniemożliwienia eskalacji uprawnień i uruchamiania jako użytkownik główny. Jednak może to spowodować uszkodzenie istniejących obciążeń, których prawidłowe działanie opiera się na tych uprawnieniach.
Dowiedz się więcej o zabezpieczaniu zasobników przy użyciu usługi Azure Policy.
Kliknij tutaj, aby uzyskać pełne szczegóły, w tym listę wersji, których dotyczy problem, oraz kroki zaradcze.