Zum Hauptinhalt wechseln

Patch für AKS-Cluster gegen Kubernetes-Sicherheitsrisiko

Veröffentlichungsdatum: 03 Dezember, 2018

Die Kubernetes-Community hat heute ein schwerwiegendes Sicherheitsrisiko bekanntgegeben, das einige der neueren in Azure Kubernetes Service (AKS) verfügbaren Kubernetes-Releases betrifft. 

Das Sicherheitsrisiko erlaubt es nicht authentifizierten externen Benutzern, auf Metrikdaten der Kubernetes-Metrikserver-API zuzugreifen, indem sie eine speziell präparierte Nutzlast einschleusen. Es betrifft alle Patchreleases von Kubernetes 1.10 bis 1.10.10 und alle Patchreleases von 1.11 bis 1.11.5. Frühere Nebenversionen in AKS sind nicht betroffen, da sie keinen Metrikserver enthalten.

In Vorbereitung dieser Ankündigung hat der Azure Kubernetes Service einen Patch auf alle betroffenen Cluster angewandt. Dazu wurde die Kubernetes-Standardkonfiguration außer Kraft gesetzt, um nicht authentifizierte Zugriffe auf Endpunkte mit dem Sicherheitsrisiko zu entfernen. Es waren alle Endpunkte unter https://myapiserver/apis/ betroffen. Wenn Sie nicht authentifizierten Zugriff von außerhalb des Clusters auf diese Endpunkte benötigten, müssen Sie zu einem Zugriffspfad mit Authentifizierung wechseln.

Für alle, die ein Upgrade auf ein Kubernetes-Release mit der zugrunde liegenden Korrektur durchführen möchten, haben wir Version 1.11.5 verfügbar gemacht. Das Upgrade ist sehr einfach:

az aks upgrade -n meincluster -g meineressourcengruppe -k 1.11.5

  • Azure Kubernetes Service (AKS)
  • Services