AKS-kluster har uppdaterats på grund av en Kubernetes-säkerhetsrisk

Publiceringsdatum: 03 december, 2018

Idag har Kubernetes-communityn informerat om en allvarlig säkerhetsrisk som påverkar några av de senaste versionerna av Kubernetes som är tillgängliga i Azure Kubernetes Service (AKS). 

Säkerhetsrisken gör det möjligt för oautentiserade externa användare att få åtkomst till måttdata som tillhandahålls av API:et för Kubernetes-måttservern genom att skicka en speciellt utformad nyttolast. Den påverkar alla uppdateringar av Kubernetes 1.10 till 1.10.10 samt alla uppdateringar från 1.11 till 1.11.5. Tidigare versioner av AKS påverkas inte eftersom de inte omfattar måttservern.

Inför publiceringen av det här meddelandet har Azure Kubernetes Service uppdaterat alla kluster som påverkas genom att åsidosätta standardinställningarna för Kubernetes så att oautentiserad åtkomst till de ingångsställen som säkerhetsrisken gjorde tillgängliga inte längre är möjlig. Ingångsställena var allt under https://myapiserver/apis/. Om du använde den här oautentiserade åtkomsten till dessa slutpunkter utanför klustret måste du byta till en autentiserad sökväg.

Om du vill uppgradera till en Kubernetes-version som innehåller en felkorrigering för detta problem är version 1.11.5 nu tillgänglig. Det är så här enkelt att uppgradera:

az aks upgrade -n mycluster -g myresourcegroup -k 1.11.5

  • Azure Kubernetes Service (AKS)
  • Services

Tillhörande produkter