为 AKS 群集修补 Kubernetes 漏洞

发布日期:十二月 03, 2018

今天,Kubernetes 社区公布了一个严重的安全漏洞,该漏洞对最近 Azure Kubernetes 服务 (AKS) 中某些可用的 Kubernetes 发布内容造成了影响。 

该漏洞使得未经验证的外部用户能够通过传入一个经过特别处理的有效负载来访问由 Kubernetes 指标服务器 API 提供的指标数据。该漏洞对 Kubernetes 1.10 到 1.10.10 以及 1.11 到 1.11.5 的所有修补程序版本均造成影响。AKS 中的早期次版本不受影响,因为它们不包含指标服务器。

在为发布此次公告做准备的期间,Azure Kubernetes 服务已修补了所有受影响的群集,其采取的措施是覆盖默认 Kubernetes 配置,消除对存在此漏洞的入口点的未经验证的访问。入口点即为 https://myapiserver/apis/ 下的全部内容。如果之前曾依赖此未经验证的访问方式从群集外部访问这些终结点,那么现在需要通过验证的方式才能访问。

如需升级到包含基础修复程序的 Kubernetes 版本,可使用版本 1.11.5,该版本现已发布。升级操作十分简单:

az aks upgrade -n mycluster -g myresourcegroup -k 1.11.5

  • Azure Kubernetes 服务 (AKS)
  • Services