Kubernetes の脆弱性に関するパッチ適用済み AKS クラスター

本日、Kubernetes コミュニティは、Azure Kubernetes Service (AKS) で利用可能な最近の Kubernetes リリースの一部に影響を及ぼす重大なセキュリティ上の脆弱性について発表しました。 

この脆弱性により、巧妙に作られたペイロードを渡す手法で、認証されていない外部ユーザーが Kubernetes メトリック サーバー API によって提供されるメトリック データにアクセスすることが可能になります。これは、Kubernetes 1.10 から 1.10.10 までのすべてのパッチ リリース、および 1.11 から 1.11.5 までのすべてのパッチ リリースに影響を及ぼします。これより前の AKS のマイナー リリースにはメトリック サーバーが含まれないため、それらへの影響はありません。

この発表に備えて、脆弱性にさらされていたエントリポイントへの非認証アクセスを排除するため、Azure Kubernetes Service は既定の Kubernetes 構成をオーバーライドすることにより、影響を受けるすべてのクラスターにパッチを適用しました。該当するエントリポイントは、https://myapiserver/apis 以下にあったものすべてです。これらのエンドポイントにクラスター外部からアクセスする際、これまで非認証アクセスを利用されていた場合は、認証済みパスに切り替えていただく必要があります。

基になる修正を含む Kubernetes リリースへのアップグレードをご希望の場合、バージョン 1.11.5 をご利用いただけます。アップグレードは次のようにして簡単に実行できます。

az aks upgrade -n mycluster -g myresourcegroup -k 1.11.5