LoginSignup
19

More than 3 years have passed since last update.

Kubernetesの脆弱性CVE-2019-11253についてわかっていることをまとめる

Last updated at Posted at 2019-10-21

TL;DR

  • Kubernetesに脆弱性が見つかった(CVE-2019-11253)
  • Severity7.5なので高め(昔からクラスター運用してる場合はなるはやで上げよう)
  • Kubernetes API Server(kubectlがアクセスするエンドポイント)がPublic IPの場合は特に注意しよう

脆弱性の内容

特定の条件を満たすマニフェスト(YAML or JSON payload)を食わせるとKubernetesのマスターコンポーネントであるKubernetes API Serverが応答不能になる。

1.14.0以降のバージョンで新規に作られたクラスターの場合、デフォルトのRBACの設定が変更されており、認証済みユーザーのみがこの脆弱性を突くことが出来るようになっている。つまり、脆弱性の範囲が限定的になる(クラスターに対してYAMLを送るためにユーザー情報を持っているクライアントのみが実行可能なため)。

1.13以下のバージョンから運用しているクラスターの場合、匿名ユーザーでも脆弱性を突くことが出来る(ref. 再現コード)。

つまり、API Serverが誰でもアクセス可能なエンドポイントにあって、なおかつKubernetesのバージョンが1.13以前から運用している場合、速やかなバージョンアップが必要。

重要なのは1.13などから1.14に上げた場合でも、「RBACの設定は前方互換性のために変わらない」ということ。つまり、ただバージョンを1.14にあげるだけではだめで、脆弱性がパッチされたものに上げる必要がある。

各社パブリッククラウドの対応状況(2019年10月20日現在)

個人的に使っているものだけです。追加の情報があればコメントにどうぞ。

サービス 影響の有無 備考
GKE あり 既にパッチが公開されているので、アップデートすればよい
EKS 不明 まだ公式の声明が出ていない
AKS あるが低い Issue参照。kubeletの起動オプションで匿名ユーザーを許可しない設定になっているようだ。パッチの有無については現時点では不明。

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
19