:Kubernetes の脆弱性 CVE-2018-1002105 の修正に関するセキュリティ情報

背景

Kubernetes コミュニティのエンジニアによりセキュリテイに関する脆弱性 CVE-2018-1002105 が発見されました。 Kubernetes ユーザーはバックエンドサービスに対して偽のリクエストを送信し、確立された API サーバーの接続上で権限を拡大することによりアクセスすることが可能です。 Alibaba Cloud はこの脆弱性を修正しました。 脆弱性を除去するには、Container Service コンソールにログインし、Kubernetes を最新バージョンにアップグレードする必要があります。

脆弱性 CVE-2018-1002105 に関して詳しくはhttps://github.com/kubernetes/kubernetes/issues/71411をご参照ください。

対策が必要な Kubernetes のバージョン

• Kubernetes v1.0.x-1.9.x
• Kubernetes v1.10.0-1.10.10 (v1.10.11 で修正済み)
• Kubernetes v1.11.0-1.11.4 (v1.11.5 で修正済み)
• Kubernetes v1.12.0-1.12.2 (v1.12.3 で修正済み)

対策が必要な設定

• Container Service が実行され、拡張 API サーバーを利用している Kubernetes クラスター。 さらに、拡張 API サーバーネットワークは直接クラスターコンポーネントである "kube-apiserver" にアクセス可能です。
• Container Service 上で実行される Kubernetes クラスターは、pod exec、attach および portforward などのインターフェイスに対して実行権限を付与します。 これより、ユーザーは脆弱性を利用してクラスターのすべての kubelet API に対してアクセス権限を付与することができます。

Alibaba Cloud Container Service for Kubernetes のクラスター設定

• Container Service で実行されている Kubernetes クラスターの API サーバーはデフォルトで RBAC が有効化されています。 このため、API サーバーはプライマリアカウント認証により匿名ユーザーのアクセスを拒否します。 さらに、Kubelet の実行パラメーターが "anonymous-auth=false" であるとき、外部からの攻撃に対してセキュリティアクセス制御を行います。
• お使いの Kubernetes クラスターが複数の RAM ユーザーにより利用されている場合、RAM ユーザーは pod exec、attachおよびportforward のようなインターフェイスを通じてバックエンドサービスに不正にアクセスできる可能性があります。 お使いのクラスターに RAM ユーザーがいない場合、脆弱性はありません。
• RAM ユーザーはデフォルトでは、プライマリアカウントによるカスタマイズ権限付与なしに集合体 API リソースにアクセスすることはできません。

解決法