Пропустить навигацию

Служба Azure Kubernetes: атака типа "отказ в обслуживании", направленная на диск узла, путем записи в контейнер /etc/hosts (CVE-2020-8557)

Дата публикации: 01 сентября, 2020

Файл/etc/hosts, подключенный в pod с помощью kubelet, не включается диспетчером вытеснения kubelet при вычислении показателя использования временного хранилища объектом pod. Если объект pod записывает большой объем данных в файл /etc/hosts, он может заполнить пространство хранилища узла, что приводит к сбою узла.

Уязвима ли моя система?

Затрагиваются все кластеры, поддерживающие объекты pod с достаточными правами для записи в свои собственные файлы /etc/hosts. Сюда входят контейнеры, выполняющиеся с использованием CAP_DAC_OVERRIDE в наборе ограничений возможностей (по умолчанию установлено значение true), когда либо для UID 0 (корень), либо для контекста безопасности указано allowPrivilegeEscalation: true (значение true устанавливается по умолчанию).

Затронутые ** вышестоящие ** версии

kubelet v1.18.0-1.18.5
kubelet v1.17.0-1.17.8
kubelet < v1.16.13

Как устранить эту уязвимость?

Перед обновлением эту уязвимость можно устранить, к примеру, с помощью политик, запрещающих создание объектов pod, для которых указано allowPriviledgeEscalation: true, а также запретить повышение привилегий и выполнение в качестве корня. Но эти меры могут препятствовать правильному выполнению существующих рабочих нагрузок, которые зависят от таких привилегий.

Ознакомьтесь с дополнительными сведениями об объектах pod, защищаемых с помощью службы "Политика Azure".

Щелкните здесь, чтобы получить подробные сведения, включая список затронутых версий и инструкции по устранению проблем.

  • Служба Azure Kubernetes (AKS)
  • Security

Связанные продукты