はじめに
Kubernetes で Criticalレベルの脆弱性(CVE-2018-1002105)が発表されました
脆弱性自体の概要はSIOSさんのBlogで早速まとめれらていますのでそちらをご確認ください。
Kubernetesの脆弱性情報(Critical: CVE-2018-1002105)
https://security.sios.com/vulnerability/kubernetes-security-vulnerability-20181204.html
CVE-2018-1002105: proxy handling in kube-apiserver can leave vulnerable TCP connections
https://github.com/kubernetes/kubernetes/issues/71411request
Criticalレベルの脆弱性ですので各社の対応は終わってからの公表になってるのではないかと
思いますが、AWS/Azure/GCPの対応状況をまとめておきます。
AWS
Kubernetes Security Issue (CVE-2018-1002105)
https://aws.amazon.com/jp/security/security-bulletins/AWS-2018-020/
2018年12月4日のPM 2:00 PST(日本時間 12/5 AM 6:00) 以降に開始された新しいクラスターは、
この問題を緩和するパッチが適用されたKubernetesバージョンで開始されている。
2018年12月5日のPM 12:00 PST(日本時間 12/6 AM 5:00)時点で
既存の全てのクラスターでパッチが適用されている。
Amazon EKS Platform Version が eks.3以降であればよい。
eks.3 は Kubernetes Patch Version の 1.10.11 に該当
Platform Versions
https://docs.aws.amazon.com/eks/latest/userguide/platform-versions.html
Azure
AKS clusters patched for Kubernetes vulnerability
https://azure.microsoft.com/en-us/updates/aks-clusters-patched-for-kubernetes-vulnerability/
Azure Kubernetes Serviceは、既定のKubernetes構成を無効にして、影響を受けるすべてのクラスタにパッチを適用し、この脆弱性を公開したエントリポイントに対する認証されていないアクセスを削除しました。
バージョン1.11.5にアプデートすることで根本的な修正を適用できるとのこと
az aks upgrade -n mycluster -g myresourcegroup -k 1.11.5
GCP
Kubernetes Engine - Security Bulletins
https://cloud.google.com/kubernetes-engine/docs/security-bulletins
What should I do?
No action is required. GKE masters have already been upgraded.
このパッチは、GKE 1.9.7-gke.11, 1.10.6-gke.11, 1.10.7-gke.11,1.10.9-gke.5
および1.11.2-gke.18以降のリリースで利用できます。