Kubernetes コミュニティはこのセキュリティ脆弱性を公開しました。認証されていない攻撃者は、過剰なコンテナー チェックポイント リクエストを kubelet 読み取り専用 HTTP ポートに送信し、ディスク容量を急速に枯渇させ、クラスター ノードに対するサービス拒否 (DoS) 攻撃を可能にします。
この脆弱性は、共通脆弱性評価システム (CVSS) スコア 6.4 の中間レベルの重大度と評価されています。6.4。詳細については、「#130016」をご参照ください。
影響を受ける範囲
クラスターは、次の両方の条件が満たされる場合にのみ影響を受けます。
kubelet 読み取り専用 HTTP ポートが有効になっている。
コンテナー ランタイムがコンテナー チェックポイント機能をサポートしている。これには、
enable_criu_supportがtrueに設定された CRI-O v1.25.0+、またはcriuがインストールされた containerd v2.0+ などの構成が含まれます。
ACK クラスターはデフォルトでは影響を受けません。
チェックポイント インターフェイスは、ACK のデフォルトのノード ランタイム構成ではサポートされていません。
kubelet 読み取り専用認証されていないポートは、デフォルトで無効になっています。
脆弱なバージョン
kubelet v1.32.0 - v1.32.1
kubelet v1.31.0 - v1.31.5
kubelet v1.30.0 - v1.30.9
パッチ適用済みバージョン
kubelet master
kubelet v1.32.2
kubelet v1.31.6
kubelet v1.30.10
kubelet v1.29.14
Kubelet v1.25 から v1.29 では、コンテナー チェックポイント インターフェイスはアルファ機能としてデフォルトで無効になっており、影響を受けません。
検出
潜在的な悪用の兆候は次のとおりです。
kubelet 読み取り専用 HTTP ポートの
/checkpointインターフェイスへのリクエストの急増。ノードのデフォルト ディレクトリ パス
/var/lib/kubelet/checkpointsに多数のチェックポイント ファイルが存在する。
緩和策
クラスターで kubelet またはランタイムにデフォルト以外の構成を使用している場合は、次の対策を適用します。
クラスター ノードのディスク使用率を継続的に 監視する。
ノードで kubelet の ContainerCheckpoint 機能ゲートを無効にする。
kubelet 読み取り専用認証されていないポートを無効にする。