Ycsecurity/kubernetes-security/cve-quickfix/CVE-2022-0185

Демонсет для фикса уязвимости CVE-2022-0185

Про уязвимость можно почитать тут https://ubuntu.com/security/CVE-2022-0185

Описание

Демонсет будет выполнять следующее:

1. При помощи bash скрипта постояннo проверять значение переменной ядра sysctl -w kernel.unprivileged_userns_clone
2. В случае, если значение переменной = 1 ( уязвимость есть ) то выставлять значение в 0

Как запустить в общем случае

Создаем демонсет (включает ns и network policy)

kubectl apply -f CVE-2022-0185-fix-ds.yaml

Далее можно мониторить состояние демонсета ( смотря логи)

kubectl logs cve-2022-0185-fix-445gz -n cve-2022-0185-fix (имена будут отличаться от примера)

Fixing the kernel
kernel.unprivileged_userns_clone = 0
Doing Nothing as kernel is updated

Что дальше

Обновляйте группы узлов постоянно согласно документации- следите за деталями появится на странице https://cloud.yandex.ru/docs/overview/security-bulletins/