文档首页 > > 用户指南> 漏洞修复公告>

CVE-2020-8557的漏洞公告

CVE-2020-8557的漏洞公告

分享
更新时间:2021/02/10 GMT+08:00

华为云CCI团队已经于7月22日识别Kubernetes安全漏洞CVE-2020-8557并对其进行详细分析,分析结论为:用户与CCI服务均不受本次漏洞的影响,无需进行处理

漏洞详情

Kubernetes官方发布安全漏洞CVE-2020-8557,CVSS Rating: Medium (5.5) CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H/CR:H/IR:H/AR:M

漏洞源于kubelet的驱逐管理器(eviction manager)中没有包含对Pod中挂载的/etc/hosts文件的临时存储占用量管理,因此在特定的攻击场景下,一个挂载了/etc/hosts的Pod可以通过对该文件的大量数据写入占满节点的存储空间,从而造成节点的拒绝访问(Denial of Service)。

参考链接:https://github.com/kubernetes/kubernetes/issues/93032

如何判断是否涉及漏洞

使用了受影响的集群版本:
  • kubelet v1.18.0-1.18.5
  • kubelet v1.17.0-1.17.8
  • kubelet < v1.16.13

漏洞分析结果

CCI服务不受本次漏洞影响,原因如下:

  • CCI当前集群基于 Kubernetes 1.15 版本,容器运行时选用 Kata 安全容器,节点上 hosts 文件并未直接挂载到容器内部。因此节点没有被攻击的风险。
  • 不同租户的业务容器完全隔离,恶意用户无法影响其他用户。
分享:

    相关文档

    相关产品

文档是否有解决您的问题?

提交成功!非常感谢您的反馈,我们会继续努力做到更好!
反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区论坛频道来与我们联系探讨

智能客服提问云社区提问