阿里雲容器服務Kubernetes 已修復Dashboard漏洞CVE-2018-18264，本文介紹該漏洞的影響版本及解決方法。阿里雲容器服務Kubernetes內建的Kubernetes Dashboard是託管形態且已進行過安全增強，不受此漏洞影響。

背景資訊

Kubernetes社群發現Kubernetes Dashboard安全漏洞CVE-2018-18264：使用Kubernetes Dashboard v1.10及以前的版本有跳過使用者身份認證，及使用Dashboard登入賬號讀取叢集祕鑰資訊的風險 。

阿里雲容器服務Kubernetes內建的Kubernetes Dashboard是託管形態且已進行過安全增強，不受此漏洞影響。

安全漏洞 CVE-2018-18264的詳細資訊，請參考：
https://github.com/kubernetes/dashboard/pull/3289
https://github.com/kubernetes/dashboard/pull/3400
https://github.com/kubernetes/dashboard/releases/tag/v1.10.1

影響版本

如果您的Kubernetes叢集中獨立部署了Kubernetes Dashboard v1.10及之前版本（v1.7.0-v1.10.0），同時支援登入功能且使用了自定義證書。

解決方法

• 如果您不需要獨立部署的Dashboard，請執行以下命令，將Kubernetes Dashboard從叢集中刪除。

kubectl --namespace kube-system delete deployment kubernetes-dashboard

• 如果您需要獨立部署的Dashboard，請將Dashboard升級到v1.10.1版本，請參考https://github.com/kubernetes/dashboard/releases/tag/v1.10.1
• 如果您使用阿里雲容器服務Kubernetes版本託管的Dashboard，由於阿里雲容器服務Kubernetes版本對此進行過安全增強，不受此漏洞影響，您仍可以直接在容器服務管理控制檯上使用Dashboard