Edited at

三大クラウドのKubernetesの脆弱性(CVE-2018-1002105)対応状況メモ


はじめに

Kubernetes で Criticalレベルの脆弱性(CVE-2018-1002105)が発表されました

脆弱性自体の概要はSIOSさんのBlogで早速まとめれらていますのでそちらをご確認ください。

Kubernetesの脆弱性情報(Critical: CVE-2018-1002105)

https://security.sios.com/vulnerability/kubernetes-security-vulnerability-20181204.html

CVE-2018-1002105: proxy handling in kube-apiserver can leave vulnerable TCP connections

https://github.com/kubernetes/kubernetes/issues/71411request

Criticalレベルの脆弱性ですので各社の対応は終わってからの公表になってるのではないかと

思いますが、AWS/Azure/GCPの対応状況をまとめておきます。


AWS

Kubernetes Security Issue (CVE-2018-1002105)

https://aws.amazon.com/jp/security/security-bulletins/AWS-2018-020/

2018年12月4日のPM 2:00 PST(日本時間 12/5 AM 6:00) 以降に開始された新しいクラスターは、

この問題を緩和するパッチが適用されたKubernetesバージョンで開始されている。

2018年12月5日のPM 12:00 PST(日本時間 12/6 AM 5:00)時点で

既存の全てのクラスターでパッチが適用されている。

Amazon EKS Platform Version が eks.3以降であればよい。

eks.3 は Kubernetes Patch Version の 1.10.11 に該当

Platform Versions

https://docs.aws.amazon.com/eks/latest/userguide/platform-versions.html


Azure

AKS clusters patched for Kubernetes vulnerability

https://azure.microsoft.com/en-us/updates/aks-clusters-patched-for-kubernetes-vulnerability/


Azure Kubernetes Serviceは、既定のKubernetes構成を無効にして、影響を受けるすべてのクラスタにパッチを適用し、この脆弱性を公開したエントリポイントに対する認証されていないアクセスを削除しました。


バージョン1.11.5にアプデートすることで根本的な修正を適用できるとのこと

az aks upgrade -n mycluster -g myresourcegroup -k 1.11.5


GCP

Kubernetes Engine - Security Bulletins

https://cloud.google.com/kubernetes-engine/docs/security-bulletins


What should I do?

No action is required. GKE masters have already been upgraded.


このパッチは、GKE 1.9.7-gke.11, 1.10.6-gke.11, 1.10.7-gke.11,1.10.9-gke.5

および1.11.2-gke.18以降のリリースで利用できます。