Alibaba CloudでのKubernetesの脆弱性に対する対策 (CVE-2018-1002105)

SAの森(@mosuke5)です。先日、レポートされたCVE-2018-1002105のKubernetesの脆弱性に対する対策について簡単にご連絡いたします。

今回コンテナのオーケストレーションツールのデファクトスタンダードともいえるKubernetesで権限昇格に関する深刻な脆弱性(CVE-2018-1002105)が発表されました。
詳細はこちら:https://github.com/kubernetes/kubernetes/issues/71411

Container Service for Kubernetesをご利用のユーザ様は下記の通り対応が必要です。
現在日本サイトで提供しているContainer Service for KubernetesはマスターノードもECSの仮想サーバ上で動作しているものになりますので、対応が必要です。
もし、海外サイトにてServerless Kubernetesをご利用の場合には対応は不要です。

該当するバージョン

* Kubernetes v1.0.x-1.9.x
* Kubernetes v1.10.0-1.10.10 (fixed in v1.10.11)
* Kubernetes v1.11.0-1.11.4 (fixed in v1.11.5)
* Kubernetes v1.12.0-1.12.2 (fixed in v1.12.3)

対応

Alibaba CloudのContainer Service for Kubernetesではクラスターのアップグレードの機能を提供しています。コンソール画面から、「クラスターのアップグレード」を選択しアップグレードを行ってください。
下記のバージョンへアップグレードのできます。

  • 1.11.2 → 1.11.5
  •  1.10.4 → 1.10.11
  •  1.9 → 1.10.11
    • もし、クラスターがCloudDiskボリュームを利用している場合、先にAlibaba Cloud flexvolumeのアップグレードをしてください

下記の通り、「クラスターのアップグレード」に赤丸で警告マークがでております。

この記事をシェアする