已修補了 Kubernetes 的 AKS 叢集弱點

發佈日期: 十二月 03, 2018

Kubernetes 社群今天公布了一項嚴重的安全性弱點,會影響 Azure Kubernetes Service (AKS) 最近發行的一些 Kubernetes 版本。 

此弱點允許未經驗證的外部使用者,經由特殊設計的酬載傳遞,從而存取 Kubernetes 計量伺服器 API 提供的計量資料。此弱點影響的範圍包括 Kubernetes 1.10 到 1.10.10 的所有修補程式版本,以及 1.11 到 1.11.5 的所有修補程式版本。更早之前的 AKS 小改版版本因為不含計量伺服器,所以不受影響。

值此公告準備之際,Azure Kubernetes Service 已透過覆寫預設的 Kubernetes 設定,移除允許未經驗證就能存取會暴露此弱點的進入點來修補所有受影響的叢集。這些進入點包括 https://myapiserver/apis/ 下的一切。您若是採用未經驗證的方式,從叢集外部存取這些端點,必須改用經過驗證的路徑。

若要升級為包含基礎修正的 Kubernetes 版本,現在已有 1.11.5 版可供使用。升級方法十分簡單,如下所示:

az aks upgrade -n mycluster -g myresourcegroup -k 1.11.5

  • Azure Kubernetes Service (AKS)
  • Services