Sysdig

SCSK株式会社

ブログ

HOME Developer Square ブログ CVE-2020-8566 の理解と緩和: Ceph クラスター管理者の資格情報が kube-controller-manager ログへ漏洩

CVE-2020-8566 の理解と緩和: Ceph クラスター管理者の資格情報が kube-controller-manager ログへ漏洩

Kubernetesで発見されたCVE-2020-8566は、cephクラスターを使用しkube-controller-managerのログレベルを4以上に設定した場合、cephのユーザー資格情報がログに漏洩する可能性がある問題です。
これにより、悪意のあるユーザーがcephクラスターにアクセスしデータを危険に晒す可能性があります。
この問題は、Kubernetesのコンポーネントが冗長なログを出力する設定になっていると特に深刻です。
影響を受けるKubernetesクラスターは、ストレージにcephクラスターを使用し、kube-controller-managerのログレベルが4以上で、cephクラスタからストレージクラスを参照するPVCを作成している場合です。
対策として、影響を受ける場合はceph管理者パスワードの更新、kube-controller-managerのログレベル設定の確認、冗長なログ出力をしているKubernetesコンポーネントのチェックが必要です。
Falcoを用いた異常アクティビティ検出が役立つ場合もあります。

詳細はこちら
ページトップへ