В очередной раз хочется поднять проблему
- Благодаря CVE-2020-14386 можно сделать container escape
- Возможность проведения MitM атак
Если ваше приложение это не использует, то можно убрать те capabilities что ему не нужны, тем самым уменьшить поверхность атаки.
Для этого в разделе
CAP_NET_RAW capability, да и вообще тему дефолтных (тут можно посмотреть их список) и необходимых capabilities. Так как CAP_NET_RAW просто является наиболее ярким примером из тех что есть по умолчанию. С ней появляется целый ряд известных проблем:- Благодаря CVE-2020-14386 можно сделать container escape
- Возможность проведения MitM атак
Если ваше приложение это не использует, то можно убрать те capabilities что ему не нужны, тем самым уменьшить поверхность атаки.
Для этого в разделе
securityContext в секции capabilities можно использовать описания add и drop. На пример:securityContext:
capabilities:
drop:
- all
add:
- NED_BIND_SERVICE