Alibaba Cloud Container Service for Kubernetes はダッシュボードの脆弱性 CVE-2018-18264 を修正しました。 ここでは脆弱性の影響を受けるダッシュボードのバージョンおよび脆弱性の修正方法を説明します。 Kubernetes ダッシュボードは Alibaba Cloud Container Service for Kubernetes に組み込まれており、この脆弱性の影響を受けません。脆弱性の発生前にホスト化されて動作しており、セキュリティ設定がアップグレードされていました。

背景

セキュリティに関する脆弱性 CVE-2018-18264 は Kubernetes ダッシュボードの V1.10 およびそれ以前のバージョンで発見されました。 この脆弱性により、攻撃者が ID 認証をバイパスすることができ、ダッシュボードに関するログインアカウントを使用してクラスター内のシークレットを読み取ることができました。

Kubernetes ダッシュボードは Alibaba Cloud Container Service for Kubernetes に組み込まれており、この脆弱性の影響を受けません。脆弱性の発生前にホスト化されて動作しており、セキュリティ設定がアップグレードされていました。

セキュリティに関する脆弱性 CVE-2018-18264 について、詳しくは以下をご参照ください。

Kubernetes が脆弱性の影響を受ける条件

お使いのダッシュボードが、Kubernetes ダッシュボード V1.10 またはそれ以前のバージョン (V1.7.0 から V1.10.0) で独自にデプロイされたものである場合、脆弱性の影響を受けます。この場合、お使いの Kubernetes クラスター上のログイン機能をサポートし、カスタマイズされた証明書が使われています。

解決法

  • 独自にデプロイされたダッシュボードが必要ない場合は、以下のコマンドを実行してお使いのクラスターから Kubernetes ダッシュボードを削除します。
    kubectl --namespace kube-system delete deployment kubernetes-dashboard

  • 独自にデプロイされたダッシュボードが必要な場合、お使いのダッシュボードを V1.10.1 にアップグレードする必要があります。 詳細については、https://github.com/kubernetes/dashboard/releases/tag/v1.10.1をご参照ください。

  • Alibaba Cloud Container Service for Kubernetes によりホスト化されたダッシュボードをお使いの場合、Container Service コンソール上でそのままダッシュボードをお使いいただけます。ダッシュボードは脆弱性の発生前にアップグレードされています。