Serviço de Kubernetes do Azure: DoS de disco de nó por meio de gravação no contêiner /etc/hosts (CVE-2020-8557)

Data da publicação: 01 setembro, 2020

O arquivo /etc/hosts montado em um pod pelo kubelet não é incluído pelo gerenciador de remoção do kubelet ao calcular o uso de armazenamento efêmero por um pod. Se um pod gravar uma grande quantidade de dados no arquivo /etc/hosts, ele poderá preencher o espaço de armazenamento do nó e fazer com que o nó falhe.

Estou vulnerável?

Os clusters que permitem que pods com privilégios suficientes façam a gravação nos próprios arquivos /etc/hosts são afetados. Isso inclui contêineres em execução com CAP_DAC_OVERRIDE no conjunto delimitador de funcionalidades deles (true por padrão) e UID 0 (raiz) ou um contexto de segurança com allowPrivilegeEscalation: true (true por padrão).

Versões ** de upstream ** afetadas

kubelet v1.18.0-1.18.5
kubelet v1.17.0-1.17.8
kubelet < v1.16.13

Como faço para mitigar essa vulnerabilidade?

Antes da atualização, essa vulnerabilidade pode ser mitigada usando políticas para impedir que o pods sejam criados com allowPriviledgeEscalation: true, por exemplo, e proibir a elevação de privilégio e execução como raiz, mas essas medidas podem causar falhas nas cargas de trabalho existentes que dependem desses privilégios para funcionar corretamente.

Saiba mais sobre Proteger pods com o Azure Policy.

Clique aqui para obter detalhes completos, incluindo a lista de versões afetadas e as etapas de mitigação.

  • AKS (Serviço de Kubernetes do Azure)
  • Security