Help us understand the problem. What is going on with this article?

Kubernetesの脆弱性CVE-2019-11253についてわかっていることをまとめる

TL;DR

  • Kubernetesに脆弱性が見つかった(CVE-2019-11253)
  • Severity7.5なので高め(昔からクラスター運用してる場合はなるはやで上げよう)
  • Kubernetes API Server(kubectlがアクセスするエンドポイント)がPublic IPの場合は特に注意しよう

脆弱性の内容

特定の条件を満たすマニフェスト(YAML or JSON payload)を食わせるとKubernetesのマスターコンポーネントであるKubernetes API Serverが応答不能になる。

1.14.0以降のバージョンで新規に作られたクラスターの場合、デフォルトのRBACの設定が変更されており、認証済みユーザーのみがこの脆弱性を突くことが出来るようになっている。つまり、脆弱性の範囲が限定的になる(クラスターに対してYAMLを送るためにユーザー情報を持っているクライアントのみが実行可能なため)。

1.13以下のバージョンから運用しているクラスターの場合、匿名ユーザーでも脆弱性を突くことが出来る(ref. 再現コード)。

つまり、API Serverが誰でもアクセス可能なエンドポイントにあって、なおかつKubernetesのバージョンが1.13以前から運用している場合、速やかなバージョンアップが必要。

重要なのは1.13などから1.14に上げた場合でも、「RBACの設定は前方互換性のために変わらない」ということ。つまり、ただバージョンを1.14にあげるだけではだめで、脆弱性がパッチされたものに上げる必要がある。

各社パブリッククラウドの対応状況(2019年10月20日現在)

個人的に使っているものだけです。追加の情報があればコメントにどうぞ。

サービス 影響の有無 備考
GKE あり 既にパッチが公開されているので、アップデートすればよい
EKS 不明 まだ公式の声明が出ていない
AKE あるが低い Issue参照。kubeletの起動オプションで匿名ユーザーを許可しない設定になっているようだ。パッチの有無については現時点では不明。
Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
Comments
No comments
Sign up for free and join this conversation.
If you already have a Qiita account
Why do not you register as a user and use Qiita more conveniently?
You need to log in to use this function. Qiita can be used more conveniently after logging in.
You seem to be reading articles frequently this month. Qiita can be used more conveniently after logging in.
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
ユーザーは見つかりませんでした