Oprava clusterů AKS kvůli ohrožení zabezpečení Kubernetes

Datum publikování: 03 prosince, 2018

Komunita Kubernetes dnes oznámila závažné ohrožení zabezpečení, které se týká některých nedávno vydaných verzí Kubernetes, které jsou dostupné ve službě Azure Kubernetes Service (AKS). 

Toto ohrožení zabezpečení umožňuje neověřeným externím uživatelům přístup k datům metrik poskytovaným rozhraním API serveru metrik Kubernetes, a to předáním speciálně upravené datové části. Ovlivňuje všechna opravná vydání Kubernetes 1.10 až 1.10.10 a všechna opravná vydání 1.11 až 1.11.5. Dřívějších dílčích vydaných verzí v AKS se to netýká, protože neobsahují server metrik.

V rámci přípravy na toho oznámení služba Azure Kubernetes Service opravila ovlivněné clustery a přepsala výchozí konfiguraci Kubernetes tak, aby se odebral neověřený přístup k vstupním bodům, které odhalovaly toto ohrožení zabezpečení. Těmito vstupními body bylo vše pod https://myapiserver/apis/. Pokud jste se spoléhali na tento neověřený přístup k těmto vstupním bodům mimo cluster, budete muset přejít k ověřenému způsobu.

Pokud chcete upgradovat na vydanou verzi Kubernetes, která obsahuje příslušnou opravu, zpřístupnili jsme teď verzi 1.11.5. Upgrade je jednoduchý:

az aks upgrade -n mycluster -g myresourcegroup -k 1.11.5

  • Azure Kubernetes Service (AKS)
  • Services

Související produkty