보안 게시판

Anthos on bare metal용 보안 게시판에 대해 알아보세요.

GCP-2021-003

게시 날짜: 2021년 4월 19일
설명 심각도 참고

Kubernetes 프로젝트에서 최근에 발표한 새로운 보안 취약점인 CVE-2021-25735는 노드 업데이트가 검증 허용 웹훅을 우회할 수 있는 취약점입니다.

공격자에게 충분한 권한이 있고 이전 Node 객체 속성(예: Node.NodeSpec의 필드)을 사용하는 검증 허용 웹훅이 구현된 시나리오에서 공격자는 클러스터를 손상시킬 수 있는 노드의 속성을 업데이트할 수 있습니다. GKE 및 Kubernetes 기본 제공 허용 컨트롤러에서 시행하는 어떠한 정책도 영향을 받지 않지만 고객이 설치한 추가 허용 웹훅을 확인하는 것이 좋습니다.

어떻게 해야 하나요?

예정된 패치 버전에 이 취약점의 완화 방법이 포함됩니다.

보통

CVE-2021-25735

GCP-2021-001

게시 날짜: 2021년 1월 28일
설명 심각도 참고

CVE-2021-3156에 설명된 대로 최근 Linux 유틸리티 sudo에서 취약점이 발견되었으며, 이 취약점은 sudo가 설치된 시스템에서 권한이 없는 로컬 셸 액세스 권한을 가진 공격자를 허용하여 공격자의 권한을 시스템의 루트로 에스컬레이션할 수 있습니다.

Anthos on bare metal 클러스터는 이 취약점의 영향을 받지 않습니다.

  • Anthos on bare metal 노드에 SSH로 연결하도록 승인된 사용자는 이미 높은 권한이 있는 것으로 간주되며 sudo를 사용하여 기본적으로 루트 권한을 얻을 수 있습니다. 이 시나리오에서는 취약점에 추가 권한 에스컬레이션 경로가 생성되지 않습니다.
  • 대부분의 Anthos on bare metal 시스템은 셸 또는 sudo가 설치되지 않은 distroless 기본 이미지에서 빌드됩니다. 다른 이미지는 sudo가 포함되지 않은 debian 기본 이미지에서 빌드됩니다. sudo가 있어도 컨테이너 내부의 sudo에 액세스하면 컨테이너 경계로 인해 호스트에 액세스할 수 없습니다.

이 취약점은 고객 소유 애플리케이션 컨테이너에서 컨테이너 내부의 루트로 권한을 에스컬레이션하는 데 사용될 수 있습니다. 애플리케이션 컨테이너가 루트가 아닌 항목으로 실행되도록 설계된 경우 컨테이너 기본 이미지를 수정이 포함된 버전으로 업데이트하는 것이 좋습니다.

어떻게 해야 하나요?

Anthos on bare metal 클러스터는 이 취약점의 영향을 받지 않으므로 추가 작업이 필요하지 않습니다.

Anthos on bare metal은 이 취약점에 대한 패치를 정기적인 주기에 따라 다음 출시 버전에서 적용합니다.

없음 CVE-2021-3156