问Kubernetes安全漏洞

EN

CVE-2017-1002101会影响所有卷类型，因此为了防止您的集群上的漏洞被利用，您需要拒绝使用PodSecurityPolicy使用所有卷类型。请参阅GitHub section 这里的这里部分。

没有多少时间可以等待，只是在升级之前等待的时间越长，就越有可能被利用。

正如dippynark所指出的，您应该尽快升级，等待的时间越长，就会越多地暴露出集群的漏洞。

我添加这条评论是为了建议您检查修补程序的发布说明，因为它可能会影响您的工作负载：

2018年3月13日修正了Kubernetes漏洞修补程序CVE-2017-1002101和CVE-2017-1002102现在可以根据本周的推出时间表获得。我们建议您在群集区域中的修补程序可用时立即手动升级节点。 发行 重大更改:如果应用程序需要使用写访问挂载机密、、downwardAPI或预计卷，则不升级您的集群：

• 为了修复CVE-2017-1002102的安全漏洞，Kubernetes 1.9.4-gke.1、Kubernetes 1.8.9-gke.1和Kubernetes 1.7.14-gke.1更改了机密、configMap、downwardAPI和预测的卷以挂载只读，而不是允许应用程序编写数据，然后自动恢复数据。我们建议您在升级群集之前修改应用程序以适应这些更改。
• 如果您的集群使用IP别名并使用--启用-ip别名标志创建，则将主服务器升级到Kubernetes 1.9.4-gke.1将阻止其正确启动。这个问题将在即将发布的版本中得到解决。

免责声明:我为Google平台支持工作