Clusters AKS corrigés suite à une vulnérabilité de Kubernetes
Date de publication : 03 décembre, 2018
Aujourd’hui, la communauté Kubernetes a annoncé une grave vulnérabilité de sécurité affectant certaines versions récentes de Kubernetes disponibles dans Azure Kubernetes Service (AKS).
Cette vulnérabilité permet aux utilisateurs externes non authentifiés d’accéder aux données de métriques fournies par l’API du serveur de métriques Kubernetes en transmettant une charge utile spécialement conçue. Celle-ci affecte toutes les versions de correctifs de Kubernetes 1.10 à 1.10.10 et toutes les versions de correctif de 1.11 à 1.11.5. Les versions mineures antérieures dans AKS ne sont pas affectées car elles n’incluent pas le serveur de métriques.
En prévision de cette annonce, Azure Kubernetes Service a corrigé tous les clusters affectés en remplaçant la configuration Kubernetes par défaut afin de supprimer les accès non authentifiés aux points d’entrée qui exposaient la vulnérabilité. Les points d’entrée correspondaient à tout ce qui se situait sous https://myapiserver/apis/. Si vous utilisiez cet accès non authentifié à ces points de terminaison depuis l’extérieur du cluster, vous devez migrer vers un chemin authentifié.
Si vous souhaitez effectuer une mise à niveau vers une version de Kubernetes contenant le correctif sous-jacent, la version 1.11.5 est maintenant disponible. La mise à niveau est simple. Voyez par vous-même :
az aks upgrade -n mycluster -g myresourcegroup -k 1.11.5