Ycsecurity/kubernetes-security/cve-quickfix/CVE-2021-4034

Демонсет для фикса уязвимости CVE-2021-4034

Про уязвимость можно почитать тут https://ubuntu.com/security/notices/USN-5252-1

Описание

Демонсет будет выполнять следующее:

1. При помощи bash скрипта постояннo проверять права доступа к файлу /usr/bin/pkexec (наличие suid бита)
2. В случае, если права доступа отличаются от 0755 ( уязвимость вероятно есть ) то выставлять значение в 0755

Как запустить в общем случае

Создаем демонсет (включает ns и network policy)

kubectl apply -f CVE-2021-4034-fix-ds.yaml

Далее можно мониторить состояние демонсета ( смотря логи)

kubectl logs cve-2021-4034-fix-445gz -n cve-2021-4034-fix (имена будут отличаться от примера)

Fixing the permissions to /usr/bin/pkexec

Что дальше

Обновляйте группы узлов постоянно согласно документации- следите за деталями появится на странице https://cloud.yandex.ru/docs/overview/security-bulletins/