Clústeres de AKS revisados para la vulnerabilidad de Kubernetes
Fecha de publicación: 03 diciembre, 2018
Hoy la comunidad de Kubernetes anunció una grave vulnerabilidad de seguridad que afecta algunas versiones recientes de Kubernetes en Azure Kubernetes Service (AKS).
La vulnerabilidad le permite a usuarios externos sin autenticación acceder a los datos de métricas que entrega la API del servidor de métricas de Kubernetes al transmitir una carga útil diseñada especialmente. Afecta a todas las versiones de la revisión de Kubernetes desde la versión 1.10 hasta la 1.10.10, y todas las versiones de revisiones desde la 1.11 hasta la 1.11.5. Las versiones anteriores menores en AKS no se vieron afectadas porque no incluyen el servidor de métricas.
Como preparación para realizar este anuncio, Azure Kubernetes Service revisó todos los clústeres afectados al reemplazar la configuración predeterminada de Kubernetes para eliminar el acceso sin autenticación a los puntos de entrada que expusieron la vulnerabilidad. Los puntos de entrada eran todo lo que seguía a https://myapiserver/apis/. Si utiliza este acceso sin autenticación para estos puntos de conexión desde fuera del clúster, tendrá que cambiar a una ruta de acceso autenticada.
Si quiere realizar la actualización a una versión de Kubernetes que contenga la corrección subyacente, ya tenemos disponible la versión 1.11.5. La actualización es simple:
az aks upgrade -n mycluster -g myresourcegroup -k 1.11.5