Azure Kubernetes Service: DOS do disco do nó ao escrever no contentor /etc/hosts (CVE-2020-8557)

Data de publicação: 01 setembro, 2020

O ficheiro /etc/hosts montado num pod pelo kubelet não é incluído pelo gestor de expulsão do kubelet durante o cálculo da utilização de armazenamento efémera por um pod. Se um pod escrever uma grande quantidade de dados no ficheiro /etc/hosts, pode ocupar o espaço de armazenamento do nó e fazer com que ocorra uma falha no nó.

Estou vulnerável?

Todos os clusters que permitem pods com privilégios suficientes para escrever nos seus próprios ficheiros /etc/hosts são afetados. Estão incluídos contentores que executem CAP_DAC_OVERRIDE no conjunto delimitador de capacidades (true por predefinição) e UID 0 (raiz) ou um contexto de segurança com allowPrivilegeEscalation: true (true por predefinição).

Versões ** de Origem ** Afetadas

kubelet v1.18.0-1.18.5
kubelet v1.17.0-1.17.8
kubelet < v1.16.13

Como devo proceder para mitigar esta vulnerabilidade?

Antes da atualização, esta vulnerabilidade pode ser mitigada através de políticas que não permitem, por exemplo, a criação de pods com allowPriviledgeEscalation: true e proíbem o escalamento de privilégios e a execução como raiz. No entanto, estas medidas podem danificar cargas de trabalho existentes que dependem destes privilégios para funcionarem corretamente.

Saiba mais sobre Pods seguros com o Azure Policy.

Clique aqui para obter detalhes completos, incluindo a lista de versões afetadas e os passos de mitigação.

  • Azure Kubernetes Service (AKS)
  • Security

Produtos Relacionados