我收到了谷歌发来的一封电子邮件,内容是Kubernetes项目最近披露了新的安全漏洞。
建议在修补程序可用时立即升级节点,并在3月16日之前发布新版本。我应该多久或者我可以等多久?因为我需要至少一周的时间来计划升级!!
答案 0 :(得分:2)
CVE-2017-1002101会影响所有卷类型,因此要防止在群集上利用此漏洞,您需要使用PodSecurityPolicy拒绝使用所有卷类型。请参阅GitHub问题的Mitigations prior to upgrading部分here。
您没有等待的时间,在升级前等待的时间越长,就越有可能被利用。
答案 1 :(得分:1)
你应该尽快升级,你等待的越多,你就会越多地将你的群集暴露给漏洞,就像dippynark指出的那样。
我添加了此评论,建议您重新检查修补程序的release notes,因为它可能会影响您的工作量:
2018年3月13日 固定 根据本周的推出计划,现在可以获得Kubernetes漏洞CVE-2017-1002101和CVE-2017-1002102的补丁。我们建议您在群集的区域中提供补丁后立即手动升级节点。
<强>问题
突破性更改:如果您的应用程序需要使用写访问权限安装secret,configMap,downwardAPI或预计卷,则 升级您的群集:
修复安全漏洞CVE-2017-1002102,Kubernetes 1.9.4-gke.1,Kubernetes 1.8.9-gke.1和Kubernetes 1.7.14-gke.1改变了秘密,configMap,向下API,和预计的卷以只读方式挂载,而不是允许应用程序写入数据然后自动恢复它。我们建议您在升级群集之前修改应用程序以适应这些更改。
如果您的群集使用IP别名并使用--enable-ip-alias标志创建,则将主服务器升级到Kubernetes 1.9.4-gke.1将阻止其正常启动。此问题将在即将发布的版本中解决。
免责声明:我致力于Google云平台支持