mirtov-alexey b86ffef10c add cve fixes 2 rokov pred
..
CVE-2021-4034-fix-ds.yaml b86ffef10c add cve fixes 2 rokov pred
Readme.md b86ffef10c add cve fixes 2 rokov pred

Readme.md

Демонсет для фикса уязвимости CVE-2021-4034

Про уязвимость можно почитать тут https://ubuntu.com/security/notices/USN-5252-1

Описание

Демонсет будет выполнять следующее:

  1. При помощи bash скрипта постояннo проверять права доступа к файлу /usr/bin/pkexec (наличие suid бита)
  2. В случае, если права доступа отличаются от 0755 ( уязвимость вероятно есть ) то выставлять значение в 0755

Как запустить в общем случае

Создаем демонсет (включает ns и network policy)

kubectl apply -f CVE-2021-4034-fix-ds.yaml

Далее можно мониторить состояние демонсета ( смотря логи)

kubectl logs cve-2021-4034-fix-445gz -n cve-2021-4034-fix (имена будут отличаться от примера)

Fixing the permissions to /usr/bin/pkexec

Что дальше

Обновляйте группы узлов постоянно согласно документации- следите за деталями появится на странице https://cloud.yandex.ru/docs/overview/security-bulletins/