云容器引擎 CCE-Kubernetes kubelet资源管理错误漏洞公告(CVE-2020-8557):漏洞修复方案
时间:2025-02-12 15:11:51
下载云容器引擎 CCE用户手册完整版
复制链接到剪贴板
分享文章到微博
分享文章到朋友圈
漏洞修复方案
建议您采取以下安全防范措施:
- 通过设置集群Pod安全策略或admission准入机制强制Pod删除CAP_DAC_OVERRIDE系统权限:
securityContext: capabilities: drop: ["DAC_OVERRIDE"] - 通过使用集群Pod安全策略或其他admission准入机制限制以root用户启动容器,或设置参数allowPrivilegeEscalation为false:
securityContext: allowPrivilegeEscalation: false
- 通过以下命令对容器内的/etc/hosts文件进行监控,如果该文件的大小异常,请采取相应告警或容器隔离措施。
find /var/lib/kubelet/pods/*/etc-hosts -size +1M
support.huaweicloud.com/bulletin-cce/cce_bulletin_0007.html
