Azure Kubernetes Service:從遭入侵節點對叢集發動權限提升攻擊 (CVE-2020-8559)
發佈日期: 九月 01, 2020
若攻擊者能夠攔截 Azure Kubernetes Service (AKS) 中 Kubelet 的特定要求,就可以傳送重新導向回應,而用戶端之後可能會使用來自原始要求的認證。這可能會導致其他節點遭到入侵。
若多個叢集共用用戶端所信任的相同憑證授權單位,以及相同的驗證認證,此弱點可能會讓攻擊者將用戶端重新導向至另一個叢集。在此設定中,此弱點應視為高嚴重性。
我是否易受攻擊?
因為 AKS 中的叢集不會共用憑證授權單位和驗證認證,所以只有當您將節點視為安全性界限時,才會受到此弱點的影響。
請注意,此弱點需要攻擊者先透過不同的方式來入侵節點。
受影響的 ** 上游 ** 版本
- kube-apiserver v1.18.0-1.18.5
- kube-apiserver v1.17.0-1.17.8
- kube-apiserver v1.16.0-1.16.12
- v1.16.0 之前的所有 kube-apiserver 版本
受影響的 ** AKS ** 版本
AKS 會自動修補所有 GA Kubernetes 版本的控制平面元件。
- kube-apiserver < v1.18.6
- kube-apiserver < v1.17.7
- kube-apiserver < v1.16.10
- 以及 v1.15.11 之前的所有 kube-apiserver 版本
如何減輕此弱點?
AKS 會自動修補其 GA 版本的控制平面。若您是使用 AKS GA 版本,則無需採取任何動作。
若您不是使用 AKS GA 版本,請升級。
如需完整詳細資料 (包括受影響的版本清單和風險降低步驟),請按一下這裡。