Kubernetes 취약성이 패치된 AKS 클러스터
게시된 날짜: 12월 03, 2018
오늘, Kubernetes 커뮤니티가 AKS(Azure Kubernetes Service)에서 사용할 수 있는 일부 최신 Kubernetes 릴리스에 영향을 주는 심각한 보안 취약성을 발표했습니다.
이 취약성을 통해 인증되지 않은 외부 사용자가 특별히 구성된 페이로드를 전달하여 Kubernetes 메트릭 서버 API가 제공한 메트릭 데이터에 액세스할 수 있습니다. 이 취약성은 Kubernetes 1.10~1.10.10의 모든 패치 릴리스 및 1.11~1.11.5의 모든 패치 릴리스에 영향을 줍니다. AKS의 이전 부 릴리스는 메트릭 서버를 포함하지 않으므로 영향을 받지 않습니다.
이 발표에 대비하기 위해 Azure Kubernetes Service에서는 이 취약성을 노출한 진입점에 대한 인증되지 않은 액세스를 제거하도록 기본 Kubernetes 구성을 재정의하여 영향을 받는 모든 클러스터를 패치했습니다. 진입점은 https://myapiserver/apis/ 아래에 있는 모든 것이었습니다. 클러스터 외부에서 이러한 엔드포인트에 대한 이 인증되지 않은 액세스를 사용하고 있던 경우 인증된 경로로 전환해야 합니다.
기본 수정을 포함하는 Kubernetes 릴리스로 업그레이드하려는 경우를 위해 현재 버전 1.11.5를 제공합니다. 업그레이드는 다음과 같이 간단합니다.
az aks upgrade -n mycluster -g myresourcegroup -k 1.11.5