Kubernetes の脆弱性情報(Moderate: CVE-2020-8551, CVE-2020-8552)

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面 和毅です。

03/23/2020にKubernetes の脆弱性情報(CVE-2020-8551, CVE-2020-8552)が公開されています。今回はこれらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。



Priority

CVE番号影響するバージョンPriorityCVSS Score / CVSS Vector
CVE-2020-8550 kubelet v1.17.0 – v1.17.2, v1.16.0 – v1.16.6, v1.15.0 – v1.15.9

Vendor: Medium

Vendor: CVSS:3.0/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

CVE-2020-8550 kubelet v1.17.0 – v1.17.2, v1.16.0 – v1.16.6, < v1.15.10

Vendor: Medium

Vendor: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

修正方法

    下記のバージョン以上にアップグレードして下さい。

  • v1.17.3
  • v1.16.7
  • v1.15.10

詳しくは、各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)

  • http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8551
    • APIを通じたKubeletに対するDoSの可能性
    • 通常10255ポートで提供される認証されていないHTTPでのread-onlyのAPIや、通常10250ポートで提供される認証されたHTTPSでのAPI等により、kubeletに対してDoSを発生させることができる可能性があります。
    • 緩和方法:Kubelet APIに対して制限を掛ける事で、一時的に緩和することが可能です。
  • http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8552
    • Kubernetes API Serverに対するDoSの可能性
    • Kubernetes API Serverに、認可されたAPIリクエストを通じてDoSが発生させられる脆弱性が見つかりました。
    • 緩和方法:全てのAPIに対して非認可/非認証制限を掛ける事、またOOMが発生した時にapiserverが自動的に再起動するようにする事で、一時的に緩和することが可能です。


対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteKatello、Spacewalk等を使うと管理が便利でしょう。

また、サービスの再起動が発生する場合には、pacemakerなどOSSのクラスタ製品やLifeKeeperなどの商用のクラスタリング製品を使うとサービス断の時間を最小限にすることが出来ます。


セキュリティ系連載案内


タイトルとURLをコピーしました