Azure Kubernetes Service: Kapsayıcı /etc/hosts dosyasına yazarak düğüm diskinde DOS (CVE-2020-8557)

Yayımlanma tarihi: 01 Eylül, 2020

Kubelet tarafından bir pod'a eklenen etc/hosts, pod'un kısa ömürlü depolama alanı kullanımı hesaplanırken kubelet çıkarma yöneticisi tarafından dahil edilmez. Pod, etc/hosts dosyasına büyük miktarda veri yazarsa düğümün depolama alanını doldurup başarısız olmasına neden olabilir.

Güvenlik açığım var mı?

Kendi etc/hosts dosyalarını yazmaları için pod'lara yeterli ayrıcalık tanıyan tüm kümeler etkilenir. Buna, özellik sınırlama kümesinde CAP_DAC_OVERRIDE (varsayılan olarak true) ve UID 0 (kök) veya allowPrivilegeEscalation: true (varsayılan olarak true) ifadesini içeren güvenlik bağlamı ile çalışan kapsayıcılar dahildir.

Etkilenen ** Yukarı Akış ** Sürümleri

kubelet v1.18.0-1.18.5
kubelet v1.17.0-1.17.8
kubelet < v1.16.13

Bu güvenlik açığının riskini nasıl azaltırım?

Bu güvenlik açığının riski, yükseltmeden önce örneğin pod'ların allowPriviledgeEscalation: true ile oluşturulmasına izin vermeyen ve ayrıcalık yükseltme ile kök olarak çalıştırmayı yasaklayan ilkeler kullanılarak azaltılabilir, ancak bu önlemler bu ayrıcalıkların düzgün bir şekilde çalışmasına bağlı olan mevcut iş yüklerinde hataya neden olabilir.

Azure İlkesi ile Güvenli podlar hakkında daha fazla bilgi edinin.

Etkilenen sürüm listesi ve risk azaltma adımları dahil olmak üzere tüm ayrıntılar için buraya tıklayın.

  • Azure Kubernetes Service (AKS)
  • Security