Alibaba Cloud はシステムの脆弱性 CVE-2018-1002105 を修正しました。 ここでは、この脆弱性に関する説明および削除方法を紹介します。

この脆弱性は Serverless Kubernetes クラスターに影響を与えません。 サーバーレス Kubernetes は脆弱性が発生する前にアップグレードされています。

背景

Kubernetes コミュニティのエンジニアによりセキュリテイに関する脆弱性 CVE-2018-1002105 が発見されました。 Kubernetes ユーザーはバックエンドサービスに対して偽のリクエストを送信し、確立された API サーバーの接続上で権限を拡大することによりアクセスすることが可能です。 Alibaba Cloud はこの脆弱性を修正しました。 脆弱性を除去するには、Container Service コンソールにログインし、Kubernetes を最新バージョンにアップグレードする必要があります。

脆弱性 CVE-2018-1002105 に関して詳しくはhttps://github.com/kubernetes/kubernetes/issues/71411をご参照ください。

対策が必要な Kubernetes のバージョン

  • Kubernetes v1.0.x-1.9.x
  • Kubernetes v1.10.0-1.10.10 (v1.10.11 で修正済み)
  • Kubernetes v1.11.0-1.11.4 (v1.11.5 で修正済み)
  • Kubernetes v1.12.0-1.12.2 (v1.12.3 で修正済み)

対策が必要な設定

  • Container Service が実行され、拡張 API サーバーを利用している Kubernetes クラスター。 さらに、拡張 API サーバーネットワークは直接クラスターコンポーネントである "kube-apiserver" にアクセス可能です。
  • Container Service 上で実行される Kubernetes クラスターは、pod exec、attach および portforward などのインターフェイスに対して実行権限を付与します。 これより、ユーザーは脆弱性を利用してクラスターのすべての kubelet API に対してアクセス権限を付与することができます。

Alibaba Cloud Container Service for Kubernetes のクラスター設定

  • Container Service で実行されている Kubernetes クラスターの API サーバーはデフォルトで RBAC が有効化されています。 このため、API サーバーはプライマリアカウント認証により匿名ユーザーのアクセスを拒否します。 さらに、Kubelet の実行パラメーターが "anonymous-auth=false" であるとき、外部からの攻撃に対してセキュリティアクセス制御を行います。
  • お使いの Kubernetes クラスターが複数の RAM ユーザーにより利用されている場合、RAM ユーザーは pod exec、attachおよびportforward のようなインターフェイスを通じてバックエンドサービスに不正にアクセスできる可能性があります。 お使いのクラスターに RAM ユーザーがいない場合、脆弱性はありません。
  • RAM ユーザーはデフォルトでは、プライマリアカウントによるカスタマイズ権限付与なしに集合体 API リソースにアクセスすることはできません。

解決法

Container Service コンソールにログインし、お使いのクラスターをアップグレードします。 詳細については、Kubernetes クラスターのアップグレードをご参照ください。
  • お使いのクラスターが V1.11.2 の場合、V1.11.5 にアップグレードしてください。
  • お使いのクラスターが V1.10.4 の場合、V1.10.11 or V1.11.5 にアップグレードしてください。
  • お使いのクラスターが V1.9 またはそれ以前 の場合、V1.10.11 or V1.11.5 にアップグレードしてください。 クラスターを V1.9 から V1.10 または V1.11 にアップグレードした際、お使いのクラスターがクラウドディスクボリュームの場合、flexvolume プラグインをコンソールからアップグレードしてください。
    Container Service コンソール上で対象となるクラスターを選択し、 [詳細] > [アドオンのアップグレード] を選択してください。 アドオンのアップグレード ダイアログボックスでは、 [flexvolume] を選択し [アップグレード] をクリックしてください。