SAの森(@mosuke5)です。先日、レポートされたCVE-2018-1002105のKubernetesの脆弱性に対する対策について簡単にご連絡いたします。
今回コンテナのオーケストレーションツールのデファクトスタンダードともいえるKubernetesで権限昇格に関する深刻な脆弱性(CVE-2018-1002105)が発表されました。 詳細はこちら:https://github.com/kubernetes/kubernetes/issues/71411
Container Service for Kubernetesをご利用のユーザ様は下記の通り対応が必要です。 現在日本サイトで提供しているContainer Service for KubernetesはマスターノードもECSの仮想サーバ上で動作しているものになりますので、対応が必要です。 もし、海外サイトにてServerless Kubernetesをご利用の場合には対応は不要です。
該当するバージョン
- Kubernetes v1.0.x-1.9.x
- Kubernetes v1.10.0-1.10.10 (fixed in v1.10.11)
- Kubernetes v1.11.0-1.11.4 (fixed in v1.11.5)
- Kubernetes v1.12.0-1.12.2 (fixed in v1.12.3)
対応
Alibaba CloudのContainer Service for Kubernetesではクラスターのアップグレードの機能を提供しています。コンソール画面から、「クラスターのアップグレード」を選択しアップグレードを行ってください。 下記のバージョンへアップグレードのできます。
- 1.11.2 → 1.11.5
- 1.10.4 → 1.10.11
- 1.9 → 1.10.11
- もし、クラスターがCloudDiskボリュームを利用している場合、先にAlibaba Cloud flexvolumeのアップグレードをしてください
下記の通り、「クラスターのアップグレード」に赤丸で警告マークがでております。