Kubernetes: CVE-2020-8552: Apiserver DoS (Onkel)

CVSS-Bewertung: CVSS: 3,0 / AV : N / AC: L / PR: N / UI: N / S: U / C: N / I: N / A: L (mittel)

Es wurde festgestellt, dass der Kubernetes-API-Server über autorisierte API-Anforderungen für einen Denial-of-Service-Angriff anfällig ist.

Bin ich verletzlich?

Wenn ein Angreifer eine autorisierte Ressourcenanforderung an einen nicht gepatchten API-Server senden kann (siehe unten), sind Sie dafür anfällig. Vor Version 1.14 war dies standardmäßig über nicht authentifizierte Anforderungen möglich.

Betroffene Versionen

• kube-apiserver v1.17.0 - v1.17.2
• kube-apiserver v1.16.0 - v1.16.6
• kube-apiserver <v1.15.10

Wie kann ich diese Sicherheitsanfälligkeit verringern?

Vor dem Upgrade kann diese Sicherheitsanfälligkeit wie folgt behoben werden:

• Verhindern des nicht authentifizierten oder nicht autorisierten Zugriffs auf alle APIs
• Der Apiserver sollte automatisch neu gestartet werden, wenn er OOMs enthält

Feste Versionen

• v1.17.3
• v1.16.7
• v1.15.10

Informationen zum Upgrade finden Sie in der Dokumentation: https://kubernetes.io/docs/tasks/administer-cluster/cluster-management/#upgrading -a-cluster

Danksagung

Diese Sicherheitsanfälligkeit wurde gemeldet von: Gus Lees (Amazon)

/ Bereich Sicherheit
/ Art Bug
/ Ausschuss Produktsicherheit
/ sig api-maschinen