Gepatchte AKS-clusters voor Kubernetes-beveiligingsprobleem
Publicatiedatum: 03 december, 2018
De Kubernetes-community heeft vandaag een ernstig beveiligingsprobleem aangekondigd dat gevolgen heeft voor enkele recente Kubernetes-versies in Azure Kubernetes Service (AKS).
Het beveiligingsprobleem heeft tot gevolg dat niet-geverifieerde externe gebruikers toegang kunnen krijgen tot de metrische gegevens die door de server-API voor metrische Kubernetes-gegevens worden geleverd, door een speciaal ontworpen nettolading door te geven. Dit is het geval voor alle patchversies van Kubernetes 1.10 tot 1.10.10 en alle patchversies van 1.11 tot 1.11.5. Eerdere subversies in AKS worden niet beïnvloed omdat deze geen metrische server bevatten.
Ter voorbereiding van deze aankondiging zijn alle betrokken clusters met Azure Kubernetes Service gepatcht door de standaard-Kubernetes-configuratie te overschrijven om niet-geverifieerde toegang te verwijderen voor de beginpunten die het beveiligingsprobleem hebben veroorzaakt. De beginpunten waren alles onder https://myapiserver/apis/. Als u deze niet-geverifieerde toegang tot deze beginpunten van buiten het cluster gebruikte, moet u overschakelen op een geverifieerd pad.
Als u wilt upgraden naar een Kubernetes-versie waarin dit is gecorrigeerd, kunt u gebruikmaken van versie 1.11.5. Upgraden is zo eenvoudig als:
az aks upgrade -n mycluster -g myresourcegroup -k 1.11.5