Служба Azure Kubernetes: атака типа "отказ в обслуживании", направленная на диск узла, путем записи в контейнер /etc/hosts (CVE-2020-8557)
Дата публикации: 01 сентября, 2020
Файл/etc/hosts, подключенный в pod с помощью kubelet, не включается диспетчером вытеснения kubelet при вычислении показателя использования временного хранилища объектом pod. Если объект pod записывает большой объем данных в файл /etc/hosts, он может заполнить пространство хранилища узла, что приводит к сбою узла.
Уязвима ли моя система?
Затрагиваются все кластеры, поддерживающие объекты pod с достаточными правами для записи в свои собственные файлы /etc/hosts. Сюда входят контейнеры, выполняющиеся с использованием CAP_DAC_OVERRIDE в наборе ограничений возможностей (по умолчанию установлено значение true), когда либо для UID 0 (корень), либо для контекста безопасности указано allowPrivilegeEscalation: true (значение true устанавливается по умолчанию).
Затронутые ** вышестоящие ** версии
kubelet v1.18.0-1.18.5
kubelet v1.17.0-1.17.8
kubelet < v1.16.13
Как устранить эту уязвимость?
Перед обновлением эту уязвимость можно устранить, к примеру, с помощью политик, запрещающих создание объектов pod, для которых указано allowPriviledgeEscalation: true, а также запретить повышение привилегий и выполнение в качестве корня. Но эти меры могут препятствовать правильному выполнению существующих рабочих нагрузок, которые зависят от таких привилегий.
Ознакомьтесь с дополнительными сведениями об объектах pod, защищаемых с помощью службы "Политика Azure".
Щелкните здесь, чтобы получить подробные сведения, включая список затронутых версий и инструкции по устранению проблем.