2024年度クラウドネイティブセキュリティおよび利用状況レポート
Kubernetesで発見されたCVE-2020-8566は、cephクラスターを使用しkube-controller-managerのログレベルを4以上に設定した場合、cephのユーザー資格情報がログに漏洩する可能性がある問題です。
これにより、悪意のあるユーザーがcephクラスターにアクセスしデータを危険に晒す可能性があります。
この問題は、Kubernetesのコンポーネントが冗長なログを出力する設定になっていると特に深刻です。
影響を受けるKubernetesクラスターは、ストレージにcephクラスターを使用し、kube-controller-managerのログレベルが4以上で、cephクラスタからストレージクラスを参照するPVCを作成している場合です。
対策として、影響を受ける場合はceph管理者パスワードの更新、kube-controller-managerのログレベル設定の確認、冗長なログ出力をしているKubernetesコンポーネントのチェックが必要です。
Falcoを用いた異常アクティビティ検出が役立つ場合もあります。
