AKS-klynger oppdatert for et sikkerhetsproblem med Kubernetes

I dag annonserte Kubernetes-samfunnet et alvorlig sikkerhetsproblem som påvirker noen nyere Kubernetes-utgivelser som er tilgjengelig i Azure Kubernetes Service (AKS). 

Sikkerhetsproblemet tillater uautoriserte eksterne brukere får tilgang til måledataene som leveres av Kubernetes måledataserver-API ved å sende inn en spesialdesignet nyttelast. Det påvirker alle oppdateringsversjoner av Kubernetes 1.10 til 1.10.10 og alle oppdateringsversjoner fra 1.11 til 1.11.5. Tidligere mindre utgivelser i AKS påvirkes ikke, fordi de ikke inkluderer den metriske serveren.

Som forberedelse til denne kunngjøringen har Azure Kubernetes Service oppdatert alle berørte klynger ved å overstyre standard Kubernetes-konfigurasjon til å fjerne uautorisert tilgang til inngangspunkter som er utsatt for sikkerhetsproblemet. Inngangspunktene var alt under https://myapiserver/apis/. Hvis du var avhengig av denne uautoriserte tilgangen til disse endepunktene fra utenfor klyngen, må du bytte til en godkjent bane.

Hvis du vil oppgradere til en Kubernetes-utgivelse som inneholder den underliggende reparasjonen, har vi nå gjort versjon 1.11.5 tilgjengelig. Å oppgradere er så enkelt som:

az aks upgrade -n mycluster -g myresourcegroup -k 1.11.5