1. hayao_k

    Posted

    hayao_k
Changes in title
+三大クラウドのKubernetesの脆弱性(CVE-2018-1002105)対応状況メモ
Changes in tags
Changes in body
Source | HTML | Preview
@@ -0,0 +1,37 @@
+## はじめに
+Kubernetes で Criticalレベルの脆弱性(CVE-2018-1002105)が発表されました
+脆弱性自体の概要はSIOSさんのBlogで早速まとめれらていますのでそちらをご確認ください。
+
+**Kubernetesの脆弱性情報(Critical: CVE-2018-1002105)**
+https://security.sios.com/vulnerability/kubernetes-security-vulnerability-20181204.html
+
+**CVE-2018-1002105: proxy handling in kube-apiserver can leave vulnerable TCP connections**
+https://github.com/kubernetes/kubernetes/issues/71411request
+
+Criticalレベルの脆弱性ですので各社の対応は終わってからの公表になってるのではないかと
+思いますが、AWS/Azure/GCPの対応状況をまとめておきます。
+
+## AWS
+ググり力不足からから現時点でまだ公式情報が見つかっていません。
+
+## Azure
+**AKS clusters patched for Kubernetes vulnerability**
+https://azure.microsoft.com/en-us/updates/aks-clusters-patched-for-kubernetes-vulnerability/
+
+> Azure Kubernetes Serviceは、既定のKubernetes構成を無効にして、影響を受けるすべてのクラスタにパッチを適用し、この脆弱性を公開したエントリポイントに対する認証されていないアクセスを削除しました。
+
+バージョン1.11.5にアプデートすることで根本的な修正を適用できるとのこと
+
+```
+az aks upgrade -n mycluster -g myresourcegroup -k 1.11.5
+```
+
+## GCP
+**Kubernetes Engine - Security Bulletins**
+https://cloud.google.com/kubernetes-engine/docs/security-bulletins
+
+> What should I do?
+> No action is required. GKE masters have already been upgraded.
+
+このパッチは、GKE 1.9.7-gke.11, 1.10.6-gke.11, 1.10.7-gke.11,1.10.9-gke.5
+および1.11.2-gke.18以降のリリースで利用できます。