Help us understand the problem. What is going on with this article?

三大クラウドのKubernetesの脆弱性(CVE-2018-1002105)対応状況メモ

More than 1 year has passed since last update.

はじめに

Kubernetes で Criticalレベルの脆弱性(CVE-2018-1002105)が発表されました
脆弱性自体の概要はSIOSさんのBlogで早速まとめれらていますのでそちらをご確認ください。

Kubernetesの脆弱性情報(Critical: CVE-2018-1002105)
https://security.sios.com/vulnerability/kubernetes-security-vulnerability-20181204.html

CVE-2018-1002105: proxy handling in kube-apiserver can leave vulnerable TCP connections
https://github.com/kubernetes/kubernetes/issues/71411request

Criticalレベルの脆弱性ですので各社の対応は終わってからの公表になってるのではないかと
思いますが、AWS/Azure/GCPの対応状況をまとめておきます。

AWS

Kubernetes Security Issue (CVE-2018-1002105)
https://aws.amazon.com/jp/security/security-bulletins/AWS-2018-020/

2018年12月4日のPM 2:00 PST(日本時間 12/5 AM 6:00) 以降に開始された新しいクラスターは、
この問題を緩和するパッチが適用されたKubernetesバージョンで開始されている。
2018年12月5日のPM 12:00 PST(日本時間 12/6 AM 5:00)時点で
既存の全てのクラスターでパッチが適用されている。

Amazon EKS Platform Version が eks.3以降であればよい。
eks.3 は Kubernetes Patch Version の 1.10.11 に該当

Platform Versions
https://docs.aws.amazon.com/eks/latest/userguide/platform-versions.html

Azure

AKS clusters patched for Kubernetes vulnerability
https://azure.microsoft.com/en-us/updates/aks-clusters-patched-for-kubernetes-vulnerability/

Azure Kubernetes Serviceは、既定のKubernetes構成を無効にして、影響を受けるすべてのクラスタにパッチを適用し、この脆弱性を公開したエントリポイントに対する認証されていないアクセスを削除しました。

バージョン1.11.5にアプデートすることで根本的な修正を適用できるとのこと

az aks upgrade -n mycluster -g myresourcegroup -k 1.11.5

GCP

Kubernetes Engine - Security Bulletins
https://cloud.google.com/kubernetes-engine/docs/security-bulletins

What should I do?
No action is required. GKE masters have already been upgraded.

このパッチは、GKE 1.9.7-gke.11, 1.10.6-gke.11, 1.10.7-gke.11,1.10.9-gke.5
および1.11.2-gke.18以降のリリースで利用できます。

hayao_k
インフラ大好きです。2019 & 2020 APN AWS Top Engineers に選出いただきました。 掲載内容は個人の見解であり、所属する企業を代表するものではありません。
saison_information_systems
モード1(守りのIT)・モード2(攻めのIT)を兼ね備えたバイモーダル・インテグレーターとしてデータ連携プラットフォームのHULFTシリーズ, リンケージサービス, 流通ITサービス, フィナンシャルITサービスを提供します。
https://home.saison.co.jp/
Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away