A Kubernetes sebezhetősége el lett hárítva az AKS-fürtök javításával
Közzététel dátuma: december 03, 2018
Ma a Kubernetes-közösség súlyos biztonsági rést jelentett be, amely az Azure Kubernetes Service-ben (AKS) elérhető néhány új Kubernetes-kiadást érintett.
A biztonsági rés által nem hitelesített külső felhasználók férhettek hozzá a Kubernetes Metrics Server API által szolgáltatott metrikai adatokhoz egy különlegesen összeállított adattartalom beadásával. Ez a Kubernetes 1.10 és 1.10.10 közötti, valamint az 1.11 és 1.11.5 közötti javításait érinti. Az AKS-en belüli korábbi kisebb kiadások azért nem érintettek, mert nem tartalmazzék a Metrics Servert.
A bejelentésre felkészülve az Azure Kubernetes Service az összes érintett fürtöt javította úgy, hogy az alapértelmezett Kubernetes-konfiguráció felülírásával eltávolította a biztonsági résnek kitett belépési pontokhoz való hitelesítés nélküli hozzáférést. Ez a https://myapiserver/apis/ alatti összes belépési pontra vonatkozott. Ha felhasználta a végpontokhoz való hitelesítés nélküli hozzáférést a fürtön kívülről, akkor át kell térnie egy hitelesített módszerre.
Ha olyan Kubernetes-kiadásra kíván frissíteni, amely tartalmazza a háttérben álló javítást, elérhetővé tettük az 1.11.5-ös verziót. A frissítéshez csupán az alábbi parancsot kell futtatnia:
az aks upgrade -n fürtnév -g erőforráscsoport-név -k 1.11.5