Zastosowano poprawkę luki dotyczącej platformy Kubernetes w klastrach usługi AKS

Dzisiaj społeczność platformy Kubernetes ogłosiła poważną lukę w zabezpieczeniach, która dotyczy niektórych ostatnich wydań platformy Kubernetes dostępnych w usłudze Azure Kubernetes Service (AKS). 

Ta luka w zabezpieczeniach umożliwia nieuwierzytelnionym użytkownikom zewnętrznym dostęp do danych metryk udostępnianych przez interfejs API serwera metryk platformy Kubernetes przez przekazanie specjalnie utworzonego ładunku. Dotyczy ona wszystkich wydań poprawek platformy Kubernetes od 1.10 do 1.10.10 oraz wszystkich wydań poprawek od 1.11 do 1.11.5. Starsze wydania pomocnicze w usłudze AKS nie są zagrożone, ponieważ nie zawierają serwera metryk.

W ramach przygotowania do tego ogłoszenia zastosowano poprawkę we wszystkich klastrach usługi Azure Kubernetes Service, których dotyczy ten problem, przez zastąpienie domyślnej konfiguracji platformy Kubernetes w celu usunięcia nieuwierzytelnionego dostępu do punktów wejścia, w których występowała luka. Punkty wejścia obejmowały cały obszar https://myapiserver/apis/. Jeśli używasz takiego nieuwierzytelnionego dostępu do tych punktów końcowych z zewnątrz klastra, musisz zamiast tego używać ścieżki uwierzytelnianej.

Jeśli chcesz przeprowadzić uaktualnienie do wydania platformy Kubernetes zawierającego odpowiednią poprawkę, udostępniliśmy obecnie wersję 1.11.5. Uaktualnienie jest proste:

az aks upgrade -n mój_klaster -g moja_grupa_zasobów -k 1.11.5