Kubernetes güvenlik açığı için yama yapılan AKS kümeleri
Yayımlanma tarihi: 03 Aralık, 2018
Bugün Kubernetes topluluğu, Azure Kubernetes Service’ta (AKS) kullanıma sunulan son Kubernetes sürümlerinden bazılarını etkileyen ciddi bir güvenlik açığı olduğunu duyurdu.
Güvenlik açığı, kimliği doğrulanmamış dış kullanıcıların, Kubernetes ölçüm sunucusu API’si tarafından sağlanan ölçüm verilerine özel olarak oluşturulan bir yük geçirerek erişmesine izin vermektedir. Bu, Kubernetes 1.10 ila 1.10.10 arasındaki ve 1.11 ila 1.11.5 arasındaki tüm yama sürümlerini etkiler. AKS’deki eski küçük sürümler, ölçüm sunucusunu içermediğinden bu durumdan etkilenmez.
Bu duyuruya hazırlanırken Azure Kubernetes Service, güvenlik açığına neden olan giriş noktalarına kimlik doğrulaması yapılmadan erişimi engellemek için varsayılan Kubernetes yapılandırmasını geçersiz kılarak, etkilenen tüm kümelere yama yaptı. Tüm giriş noktaları https://myapiserver/apis/ adresinde yer alır. Bu uç noktalara küme dışından kimlik doğrulaması olmadan erişiyorsanız kimlik doğrulamasının yapıldığı bir yönteme geçmeniz gerekir.
Temel alınan düzeltmeyi içeren bir Kubernetes sürümüne yükseltmek isterseniz, kullanıma sunduğumuz 1.11.5 sürümünden faydalanabilirsiniz. Yükseltmeyi şu şekilde kolayca yapabilirsiniz:
az aks upgrade -n mycluster -g myresourcegroup -k 1.11.5