Alibaba Cloudは、Container Service for Kubernetes (ACK) のKubernetes脆弱性CVE-2019-11253を修正しました。 このトピックでは、以前のバージョンの影響とこの脆弱性を修正する方法について説明します。
背景情報
Kubernetes脆弱性CVE-2019-11253は、Kubernetesコミュニティによって開示されました。 Kubernetesユーザーは、偽造されたYAMLファイルを含むPOSTリクエストを送信して、Kubernetesクラスターに対してサービス拒否 (DoS) 攻撃を開始できます。 Alibaba Cloudはこの脆弱性をACKで修正しました。 ACKコンソールにログインして、ACKクラスターをアップグレードします。
Kubernetesの脆弱性CVE-2019-11253の詳細については、「CVE-2019-11253」をご参照ください。
影響を受けるバージョン
修正
ACKコンソールにログインし、ACKクラスターを1.14.8にアップグレードします。 ACKクラスターのアップグレード方法と注意が必要な考慮事項の詳細については、「ACKクラスターの手動アップグレード」をご参照ください。
ACKクラスターをすぐにアップグレードできない場合は、次の操作を実行してこの脆弱性によって引き起こされるリスクを軽減し、後でアップグレードを実行します。
最小特権 (POLP) の原則に従い、Resource Access Management (RAM) ユーザーに、アクセスする必要があるACKクラスターに対する最小限の権限を付与できます。 RAMユーザーにACKクラスターを作成または変更する権限を付与しないでください。 詳細については、『Authorization overview』をご参照ください。
Alibaba Cloudアカウントを使用して、KubeConfig資格情報を開示するリスクにさらされる可能性のあるユーザーからKubeConfig資格情報を取り消すこともできます。