Pomiń nawigację

Usługa Azure Kubernetes Service: Eskalacja uprawnień z węzła z naruszonymi zabezpieczeniami do klastra (CVE-2020-8559)

Data opublikowania: 01 września, 2020

Jeśli osoba atakująca przechwyci pewne żądania kierowane do składnika kubelet w usłudze Azure Kubernetes Service (AKS), może wysłać odpowiedź przekierowania, które zostanie wykonane przez klienta przy użyciu poświadczeń z oryginalnego żądania. Może to prowadzić do naruszenia zabezpieczeń innych węzłów.

Jeśli wiele klastrów korzysta z tego samego urzędu certyfikacji, któremu klient ufa, i tych samych poświadczeń uwierzytelniania, ta luka w zabezpieczeniach może pozwolić osobie atakującej na przekierowanie klienta do innego klastra. W takiej konfiguracji ta luka w zabezpieczeniach powinna być uznawana za lukę o wysokiej ważności.

Czy problem może wystąpić w moim środowisku?

Ta luka w zabezpieczeniach ma wpływ na Twoje środowisko tylko wtedy, gdy traktujesz węzeł jako granicę zabezpieczeń, ponieważ klastry w usłudze AKS nie współdzielą urzędów certyfikacji ani poświadczeń uwierzytelniania.

Pamiętaj, że w celu wykorzystania tej luki w zabezpieczeniach osoba atakująca musi najpierw naruszyć zabezpieczenia węzła w inny sposób.

**Nadrzędne** wersje, których to dotyczy

  • Narzędzie kube-apiserver w wersji 1.18.0–1.18.5
  • Narzędzie kube-apiserver w wersji 1.17.0–1.17.8
  • Narzędzie kube-apiserver w wersji 1.16.0–1.16.12
  • Narzędzie kube-apiserver we wszystkich wersjach wcześniejszych niż 1.16.0

Wersje usługi **AKS**, których to dotyczy

Usługa AKS automatycznie stosuje poprawki we wszystkich składnikach płaszczyzny sterowania ogólnie dostępnych wersji platformy Kubernetes.

  • Narzędzie kube-apiserver w wersjach wcześniejszych niż 1.18.6
  • Narzędzie kube-apiserver w wersjach wcześniejszych niż 1.17.7
  • Narzędzie kube-apiserver w wersjach wcześniejszych niż 1.16.10
  • Narzędzie kube-apiserver we wszystkich wersjach wcześniejszych niż 1.15.11

Jak mogę wyeliminować tę lukę w zabezpieczeniach?

Usługa AKS automatycznie wprowadzi poprawki w płaszczyznach sterowania wszystkich swoich ogólnie dostępnych wersji. Jeśli korzystasz z ogólnie dostępnej wersji usługi AKS, nie jest wymagana żadna akcja.
Jeśli nie korzystasz z ogólnie dostępnej wersji usługi AKS, uaktualnij ją.

Kliknij tutaj, aby uzyskać pełne szczegóły, w tym listę wersji, których dotyczy problem, oraz kroki zaradcze.

  • Azure Kubernetes Service (AKS)
  • Security