В кластерах AKS исправлена уязвимость, связанная с Kubernetes
Дата публикации: 03 декабря, 2018
Сегодня сообщество разработчиков Kubernetes объявило о серьезной уязвимости системы безопасности, которая затронула несколько недавних выпусков Kubernetes, доступных в Службе Azure Kubernetes (AKS).
Из-за этой уязвимости внешние пользователи, не прошедшие проверку подлинности, могут получать доступ к данным метрик, которые предоставляет API сервера метрик Kubernetes, передав специально созданные полезные данные. Эта уязвимость затрагивает все выпуски исправлений Kubernetes с 1.10 по 1.10.10 и все выпуски исправлений с 1.11 по 1.11.5. Более ранние вспомогательные выпуски в AKS не затронуты, так как в их состав не входит сервер метрик.
Во время подготовки этого объявления в Службе Azure Kubernetes все затронутые кластеры были исправлены путем переопределения конфигурации Kubernetes по умолчанию. Сейчас доступ без проверки подлинности к точкам входа, которые затрагивает уязвимость, запрещен. Все эти точки входа располагались по адресу https://myapiserver/apis/. Если вы использовали доступ без проверки подлинности к этим конечным точкам из расположения за пределами кластера, вам необходимо перейти на путь с проверкой подлинности.
Если вы хотите выполнить обновление до выпуска Kubernetes, который содержит базовое исправление, уже доступна версия 1.11.5. Выполнить обновление очень просто:
az aks upgrade -n mycluster -g myresourcegroup -k 1.11.5