AKS |Azure Kubernetes Service: Node disk DOS by writing to container /etc/hosts (CVE-2020-8557)

Hi,

In this article I would like share with you a new vulnerability against Azure Kubernetes.

Title: Node disk DOS by writing to container /etc/hosts

CVE: CVE-2020-8557

Description:

The /etc/hosts file mounted in a pod by kubelet is not included by the kubelet eviction manager when calculating ephemeral storage usage by a pod. If a pod writes a large amount of data to the /etc/hosts file, it could fill the storage space of the node and cause the node to fail.

Any clusters allowing pods with sufficient privileges to write to their own /etc/hosts files are affected. This includes containers running with CAP_DAC_OVERRIDE in their capabilities bounding set (true by default) and either UID 0 (root) or a security context with allowPrivilegeEscalation: true (true by default).

Affected versions:

kubelet v1.18.0-1.18.5
kubelet v1.17.0-1.17.8
kubelet < v1.16.13

Fixed versions:

AKS v1.15.11*, v1.15.12* .
AKS v1.16.10* and v1.16.13+
AKS v1.17.7* and v1.17.9+
AKS v1.18.6+

Maxime.

AKS Security in French!

Bonjour,

Aujourd’hui, j’ai le plaisir de vous annoncer que je vais animer une conférence sur la thématique de la sécurité des clusters AKS pour le Microsoft Reactor Toronto. Pour la première fois au Microsoft Reactor, cette conférence sera dispensé en Français et ce pour le plus grand plaisir des communautés Francophone.

Cette conférence pourra être suivi en ligne le jeudi 1er Octobre de 18h à 19h.

Afin de vous inscrire je vous donne rendez-vous au lien suivant: https://www.meetup.com/fr-FR/Microsoft-Reactor-Toronto/events/273113179/

N’hésitez pas à me solliciter si vous avez des questions avant ou après la conférence.

Maxime.

Azure Policy | Lancer un scan

Bonjour,

Dans cet article je vais vous présenter commencer lancer manuellement un scan de vos Azure Policy. Par défaut Azure policy est lancé chaque 24 heures. Mais si vous développez des Azure policies, vous ne souhaitez certainement pas attendre 24 heures avant d’avoir un premier résultat.

  • Avec Azure-cli:
az policy state trigger-scan --resource-group "MyRG"
  • Avec Powershell:
Start-AzPolicyComplianceScan -ResourceGroupName 'MyRG'
  • Avec l’APIRest:

Pour scanner un ressource group:

POST https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.PolicyInsights/policyStates/latest/triggerEvaluation?api-version=2019-10-01

Pour scanner une souscription:

POST https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{YourRG}/providers/Microsoft.PolicyInsights/policyStates/latest/triggerEvaluation?api-version=2019-10-01

Maxime.