Container Service for Kubernetes では、CVE-2019-16276 に対する修正がリリースされました。 このトピックでは、この脆弱性に関する影響および修正方法について説明します。

背景

Golang で脆弱性 CVE-2019-16276 が発見されました。 Kubernetes ユーザーは、特定の形式でリクエストヘッダーを書くことで認証プロキシのフィルター条件を回避し、認証済みのリクエストを他のユーザーまたはグループとしてバックエンド API サーバーに送信できます。 Golang では、即座にこの脆弱性を修正しました。 Golang のバージョンをアップグレードすることを推奨します。

CVE-2019-16276 に関する詳細については、https://github.com/golang/go/issues/34540をご参照ください。

影響を受けるバージョン

認証に認証プロキシを使用しているクラスターのうち、その認証プロキシサーバーが Go で記述されているもの。

修正

Golang をアップグレードします。 詳細は、「Go のインストール」をご参照ください。 Golang のバージョン 1.12.10 または 1.13.1 をダウンロードし、認証プロキシサーバーを再コンパイルし、デプロイします。 Go のインストール後、go version コマンドを実行してバージョンを確認します。