Про уязвимость можно почитать тут https://ubuntu.com/security/notices/USN-5252-1
Демонсет будет выполнять следующее:
- При помощи bash скрипта постояннo проверять права доступа к файлу /usr/bin/pkexec (наличие suid бита)
- В случае, если права доступа отличаются от 0755 ( уязвимость вероятно есть ) то выставлять значение в 0755
Создаем демонсет (включает ns и network policy)
kubectl apply -f CVE-2021-4034-fix-ds.yaml
Далее можно мониторить состояние демонсета ( смотря логи)
kubectl logs cve-2021-4034-fix-445gz -n cve-2021-4034-fix (имена будут отличаться от примера)
Fixing the permissions to /usr/bin/pkexec
Обновляйте группы узлов постоянно согласно документации- следите за деталями появится на странице https://cloud.yandex.ru/docs/overview/security-bulletins/