Azure Kubernetes Service: Risk altındaki düğümden kümeye ayrıcalık yükseltme (CVE-2020-8559)
Yayımlanma tarihi: 01 Eylül, 2020
Bir saldırgan Azure Kubernetes Service'de (AKS) Kubelet'e yönelik belirli isteklere müdahale edebiliyorsa bir yeniden yönlendirme yanıtı ve ardından özgün istekteki kimlik bilgilerini kullanarak istemciyi gönderebilir. Bu da diğer düğümlerin gizliliğinin tehlikeye atılmasına neden olabilir.
Birden fazla küme, istemcinin güvendiği aynı sertifika yetkilisini ve aynı kimlik doğrulaması kimlik bilgilerini paylaşıyorsa bu güvenlik açığı, bir saldırganın istemciyi başka bir kümeye yönlendirmesine imkan tanıyabilir. Bu yapılandırmada bu güvenlik açığı Yüksek önem dereceli olarak değerlendirilmelidir.
Güvenlik açığım var mı?
AKS'deki kümeler sertifika yetkililerini ve kimlik doğrulaması kimlik bilgilerini paylaşmadığından, yalnızca kümeyi güvenlik sınırı olarak değerlendirmeniz durumunda bu güvenlik açığından etkilenirsiniz.
Bu güvenlik açığının gerçekleşmesi için önce bir saldırganın farklı yöntemlerle düğümün güvenliğini tehlikeye atması gerektiğine dikkat edin.
Etkilenen ** Yukarı Akış ** Sürümleri
- kube-apiserver v1.18.0-1.18.5
- kube-apiserver v1.17.0-1.17.8
- kube-apiserver v1.16.0-1.16.12
- v1.16.0'dan önceki tüm kube-apiserver sürümleri
Etkilenen ** AKS ** Sürümleri
AKS, genel kullanıma sunulan tüm Kubernetes sürüm kontrol düzlemi bileşenleri için düzeltme eklerini otomatik olarak uygular.
- kube-apiserver <v1.18.6
- kube-apiserver <v1.17.7
- kube-apiserver <v1.16.10
- ve v1.15.11'den önceki tüm kube-apiserver sürümleri
Bu güvenlik açığının riskini nasıl azaltırım?
AKS, genel kullanıma sunulan sürümlerinin kontrol düzlemleri için otomatik olarak düzeltme eki uygular. Genel kullanımda olan bir AKS sürümü kullanıyorsanız herhangi bir eylem gerekmez.
Genel kullanımda olmayan bir AKS sürümü kullanıyorsanız lütfen yükseltin.
Etkilenen sürüm listesi ve risk azaltma adımları dahil olmak üzere tüm ayrıntılar için buraya tıklayın.