Alibaba Cloud Container Service for Kubernetes はダッシュボードの脆弱性 CVE-2018-18264 を修正しました。 ここでは脆弱性の影響を受けるダッシュボードのバージョンおよび脆弱性の修正方法を説明します。 Kubernetes ダッシュボードは Alibaba Cloud Container Service for Kubernetes に組み込まれており、この脆弱性の影響を受けません。脆弱性の発生前にホスト化されて動作しており、セキュリティ設定がアップグレードされていました。
背景
セキュリティに関する脆弱性 CVE-2018-18264 は Kubernetes ダッシュボードの V1.10 およびそれ以前のバージョンで発見されました。 この脆弱性により、攻撃者が ID 認証をバイパスすることができ、ダッシュボードに関するログインアカウントを使用してクラスター内のシークレットを読み取ることができました。
Kubernetes ダッシュボードは Alibaba Cloud Container Service for Kubernetes に組み込まれており、この脆弱性の影響を受けません。脆弱性の発生前にホスト化されて動作しており、セキュリティ設定がアップグレードされていました。
Kubernetes が脆弱性の影響を受ける条件
お使いのダッシュボードが、Kubernetes ダッシュボード V1.10 またはそれ以前のバージョン (V1.7.0 から V1.10.0) で独自にデプロイされたものである場合、脆弱性の影響を受けます。この場合、お使いの Kubernetes クラスター上のログイン機能をサポートし、カスタマイズされた証明書が使われています。
解決法
-
独自にデプロイされたダッシュボードが必要ない場合は、以下のコマンドを実行してお使いのクラスターから Kubernetes ダッシュボードを削除します。
kubectl --namespace kube-system delete deployment kubernetes-dashboard
-
独自にデプロイされたダッシュボードが必要な場合、お使いのダッシュボードを V1.10.1 にアップグレードする必要があります。 詳細については、https://github.com/kubernetes/dashboard/releases/tag/v1.10.1をご参照ください。
-
Alibaba Cloud Container Service for Kubernetes によりホスト化されたダッシュボードをお使いの場合、Container Service コンソール上でそのままダッシュボードをお使いいただけます。ダッシュボードは脆弱性の発生前にアップグレードされています。