AKS-klynger oppdatert for et sikkerhetsproblem med Kubernetes
Publiseringsdato: 03 desember, 2018
I dag annonserte Kubernetes-samfunnet et alvorlig sikkerhetsproblem som påvirker noen nyere Kubernetes-utgivelser som er tilgjengelig i Azure Kubernetes Service (AKS).
Sikkerhetsproblemet tillater uautoriserte eksterne brukere får tilgang til måledataene som leveres av Kubernetes måledataserver-API ved å sende inn en spesialdesignet nyttelast. Det påvirker alle oppdateringsversjoner av Kubernetes 1.10 til 1.10.10 og alle oppdateringsversjoner fra 1.11 til 1.11.5. Tidligere mindre utgivelser i AKS påvirkes ikke, fordi de ikke inkluderer den metriske serveren.
Som forberedelse til denne kunngjøringen har Azure Kubernetes Service oppdatert alle berørte klynger ved å overstyre standard Kubernetes-konfigurasjon til å fjerne uautorisert tilgang til inngangspunkter som er utsatt for sikkerhetsproblemet. Inngangspunktene var alt under https://myapiserver/apis/. Hvis du var avhengig av denne uautoriserte tilgangen til disse endepunktene fra utenfor klyngen, må du bytte til en godkjent bane.
Hvis du vil oppgradere til en Kubernetes-utgivelse som inneholder den underliggende reparasjonen, har vi nå gjort versjon 1.11.5 tilgjengelig. Å oppgradere er så enkelt som:
az aks upgrade -n mycluster -g myresourcegroup -k 1.11.5