AKS-klynger er repareret i forhold til Kubernetes-sikkerhedsrisiko
Dato for publicering: 03 december, 2018
I dag har Kubernetes-community'et udsendt en meddelelse om en alvorlig sikkerhedsrisiko, der berører nogle af de seneste Kubernetes-udgivelser, der er tilgængelige i AKS (Azure Kubernetes Service).
Sikkerhedsrisikoen gør det muligt for ikke-godkendte eksterne brugere at få adgang til de metrikdata, der leveres af Kubernetes-metrikserver-API'en, ved at lade særligt udformede nyttedata løbe igennem. Det berører alle programrettelser til Kubernetes 1.10 til 1.10.10 og alle programrettelser fra 1.11 til 1.11.5. Tidligere mindre udgivelser i AKS er ikke berørt, da de ikke inkluderer metrikserveren.
Som forberedelse til denne meddelelse har Azure Kubernetes Service rettet alle de berørte klynger ved at tilsidesætte Kubernetes-standardkonfigurationen for at fjerne muligheden for ikke-godkendt adgang til de adgangspunkter, der udgjorde sikkerhedsrisikoen. Adgangspunkterne var alt under https://myapiserver/apis/. Hvis du var afhængig af denne ikke-godkendte eksterne adgang til disse slutpunkter, skal du skifte til en godkendt sti.
Hvis du vil opgradere til en Kubernetes-udgivelse, der indeholder den underliggende rettelse, er version 1.11.5 nu tilgængelig. Det er enkelt at opgradere:
az aks upgrade -n mycluster -g myresourcegroup -k 1.11.5