Vulnerabilidade do Kubernetes corrigida nos clusters do AKS
Data de publicação: 03 dezembro, 2018
Hoje, a comunidade do Kubernetes revelou uma séria vulnerabilidade de segurança que afeta algumas versões recentes do Kubernetes disponíveis no Azure Kubernetes Service (AKS).
A vulnerabilidade permite que utilizadores externos não autenticados acedam aos dados de métricas fornecidos pela API do servidor de métricas do Kubernetes ao passar num payload especialmente concebido. Afeta todas as versões corrigidas do Kubernetes 1.10 ao 1.10.10 e todas as versões corrigidas do 1.11 ao 1.11.5. As versões secundárias anteriores existentes no AKS não foram afetadas porque não incluem o servidor de métricas.
Em preparação para este anúncio, o Azure Kubernetes Service corrigiu todos os clusters afetados ao substituir a configuração predefinida do Kubernetes de forma a remover o acesso não autenticado aos pontos de entrada que expunham a vulnerabilidade. Os pontos de entrada incluíam tudo em https://myapiserver/apis/. Se utilizava este acesso não autorizado a estes pontos finais a partir de fora do cluster, tem de começar a utilizar um caminho autenticado.
Se quiser atualizar para uma versão do Kubernetes que contenha a correção subjacente, já disponibilizámos a versão 1.11.5. A atualização é simples:
az aks upgrade -n mycluster -g myresourcegroup -k 1.11.5