Kubernetesの脆弱性情報(Critical: CVE-2018-1002105)

2018.12.04

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面 和毅です。

12/03/2018にKubernetesの脆弱性情報(Critical: CVE-2018-1002105)が公開されています。Criticalな脆弱性ですので、今回はこの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

Priority

  • CVE-2018-1002105

    Critical

    • CVSS v3 Base Score: 9.8
    • Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

影響

  • 影響するコンポーネント
    • Kubernetes API server
  • 影響するバージョン
    • Kubernetes v1.0.x-1.9.x
    • Kubernetes v1.10.0-1.10.10 (v1.10.11で修正)
    • Kubernetes v1.11.0-1.11.4 (v1.11.5で修正)
    • Kubernetes v1.12.0-1.12.2 (v1.12.3で修正)
  • 影響する設定
    • Kubernetes APIサーバネットワークから直接アクセスできるextension APIサーバを実行するクラスタ
    • kubelet APIに対してフルアクセスを持ってはいけないユーザに対してポッドのexec/attach/portforward権限を与えるクラスタ

緩和策

  • aggregated API サーバの使用の中断
  • kubelet APIに対してフルアクセスを持ってはいけないユーザに対して、ポッドのexec/attach/portforward権限の削除

Red Hat OpenShiftへの影響

OpenShift環境で、Podのexec/attach/portforward権限を持つユーザが、クラスタレベルでの管理権限を取得できるなど、重大な影響があります。

詳しくは、Red Hat社のアドバイザリを確認してください。

修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)

  • http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1002105
    • 特権昇格の可能性
    • 重要度 – Critical
    • 特別に細工されたリクエストにより、Kubernetes APIサーバを通してバックエンドサーバに接続することを許可されたユーザは、同じ接続を通して任意のリクエストを投げることが出来、バックエンド接続を確立する際に使用したKubernetes APIサーバのTLS資格情報で認証されます。

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください

対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteKatello、Spacewalk等を使うと管理が便利でしょう。

また、サービスの再起動が発生しますので、peacemakerなどOSSのクラスタ製品やLifeKeeperなどの商用のクラスタリング製品を使うとサービス断の時間を最小限にすることが出来ます。

セキュリティ系連載案内

セミナー情報

2019/01/09 18:30-20:30で、「OSSライセンスMeetup Vol.1」を行います。

今回は技術評論社刊「OSSライセンスの教科書」著者・上田さんを迎えて刊行に至った理由・本著に込めた思い・見どころなどを語っていただき、後半ではテクニカルライター可知豊さんと共に上田さんと本書についてのディスカッションを行います。

https://sios.connpass.com/event/104422/がプログラム内容と申し込みの詳細になります。奮ってご参加下さい。

タイトルとURLをコピーしました