Yongbok Kim ruo91

OpenShift v4.x - Apache Log4j2 (CVE-2021-44228) 보안 취약점 조치 방법

OpenShift v3.11, v4.x 버전에서 Apache Log4j2 (CVE-2021-44228)에 대한 보안 취약점 조치 방법에 대해서 정리한다.
이번 보안 취약점에 영향이 있는 컴포넌트는 OpenShift Logging(EFK Stack)의 ElasticSearch에 영향을 받는다.

1. OpenShift v3.11 버전

1.1. Deployment Config 확인

ElasticSearch의 Deployment Config을 확인 한다.

[root@bastion ~]# for i in {es,es-ops}; do oc get dc -l component=$i --no-headers -n openshift-logging | awk '{print $1}'; done

OpenShift v4.x - Disable Insight Operator

OpenShift v4.7 버전부터 Insight Operator 기능이 추가 되었다.
이것은 기존의 클러스터 환경에 대한 정보를 수집하고 cloud.redhat.com에서
Insigt Report 기반으로 클러스터에 대한 정보를 진단하는 기능을 가지고 있다.

이 기능이 Disconnected 환경에서는 외부로 수집될 이유가 없으므로, 이를 비활성화 한다.

1. 구성 확인

openshift-insight operator에서 서버로 사용하는 server.yaml 파일을 확인 해본다.

- 3scale-operator pod logs

$ oc logs -f 3scale-operator-549b969b79-fbjwr -n 3scale
{"level":"info","ts":1635608682.9609578,"logger":"controller_apimanager","msg":"Deployment status will be updated"}
{"level":"info","ts":1635608682.9825118,"logger":"controller_apimanager","msg":"ReconcileAPIManager","Request.Namespace":"3scale","Request.Name":"api-manager","Operator version":"0.6.0","3scale release":"2.9"}
{"level":"info","ts":1635608768.0079806,"logger":"olm","msg":"Found deployments with status ","stopped":["apicast-production","apicast-staging","backend-cron","backend-listener","backend-redis","backend-worker","system-app","system-memcache","system-mysql","system-redis","system-sidekiq","system-sphinx","zync","zync-database","zync-que"],"starting":[],"ready":[]}

- amp-apicast

$ oc import-image amp-apicast:2.9 --insecure -n 3scale --confirm \

--from=registry.redhat.io/3scale-amp2/apicast-gateway-rhel8@sha256:a3a841ce413b2e050fe44a30f3b3fd82256d91e0daa81f13ecd40f97a95e68ab

OpenShift v4.x - 데이터 수집 도구 사용

운영 환경에서 장애 상황이 발생하였을 경우, 어느 부분에서 문제가 발생 되었는지 파악하기 위해,
OpenShift에서 제공하는 데이터 수집 도구를 사용하여 로그나 설정에 대한 파일을 수집 할 수 있다.

	[root@bastion ~]# oc get crd -o yaml ingresscontrollers.operator.openshift.io
	apiVersion: apiextensions.k8s.io/v1
	kind: CustomResourceDefinition
	metadata:
	annotations:
	api-approved.openshift.io: https://github.com/openshift/api/pull/616
	include.release.openshift.io/ibm-cloud-managed: "true"
	include.release.openshift.io/self-managed-high-availability: "true"
	include.release.openshift.io/single-node-developer: "true"
	name: ingresscontrollers.operator.openshift.io

	ruo91-home /usr/local/src/e1000e-3.8.4/src # make
	make[1]: Entering directory '/usr/src/linux-5.15.16-gentoo'
	CC [M] /usr/local/src/e1000e-3.8.4/src/netdev.o
	In file included from /usr/local/src/e1000e-3.8.4/src/e1000.h:14,
	from /usr/local/src/e1000e-3.8.4/src/netdev.c:30:
	/usr/local/src/e1000e-3.8.4/src/kcompat.h: In function '__kc_xdp_umem_get_data':
	/usr/local/src/e1000e-3.8.4/src/kcompat.h:6696:22: error: 'struct xdp_umem' has no member named 'pages'; did you mean 'pgs'?
	6696 \| return umem->pages[addr >> PAGE_SHIFT].addr + (addr & (PAGE_SIZE - 1));
	\| ^~~~~
	\| pgs

	#
	# Automatically generated file; DO NOT EDIT.
	# Linux/x86 5.17.1-gentoo-r1 Kernel Configuration
	#
	CONFIG_CC_VERSION_TEXT="gcc (Gentoo 11.2.1_p20220115 p4) 11.2.1 20220115"
	CONFIG_CC_IS_GCC=y
	CONFIG_GCC_VERSION=110201
	CONFIG_CLANG_VERSION=0
	CONFIG_AS_IS_GNU=y
	CONFIG_AS_VERSION=23800

	kind: Deployment
	apiVersion: apps/v1
	metadata:
	name: insights-operator
	namespace: openshift-insights
	spec:
	replicas: 1
	selector:
	matchLabels:
	app: insights-operator

	apiVersion: apiextensions.k8s.io/v1
	kind: CustomResourceDefinition
	metadata:
	labels:
	operators.coreos.com/3scale-operator.3scale: ""
	name: apimanagers.apps.3scale.net
	spec:
	conversion:
	strategy: None
	group: apps.3scale.net

	[H[J[1;1H[?25l[m[H[J[1;1H[20;7H[mUse the ^ and v keys to change the selection.

	Press 'e' to edit the selected item, or 'c' for a command prompt. [4;80H [7m[4;1H Red Hat Enterprise Linux CoreOS 46.82.202106161040-0 (Ootpa) (ostree:0) [m[4;79H[m[m[5;1H [m[5;79H[m[m[6;1H [m[6;79H[m[m[7;1H [m[7;79H[m[m[8;1H [m[8;79H[m[m[9;1H [m[9;79H[m[m[10;1H [m[10;79H[m[m[11;1H [m[11;79H[m[m[12;1H