Ohrožení zabezpečení runC a CVE-2019-5736 v AKS

V runC, běhovém modulu runtime pro kontejnery nízké úrovně, který podporuje Docker a přidružené kontejnerové moduly, které ovlivňují Azure Kubernetes Service (AKS), bylo nedávno oznámené ohrožení zabezpečení. Jako osvědčený postup jsme aktualizaci OCI (Open Container Initiative) použili pro všechny příslušné služby, které spravujeme.

Microsoft sestavil novou verzi modulu runtime kontejneru Moby zahrnující aktualizaci OCI, která toto ohrožení zabezpečení řeší. Pokud chcete tento nový modul runtime kontejneru využít, musíte upgradovat na cluster Kubernetes. Postačí libovolná aktualizace, protože zajistí, že se odeberou stávající uzly a nahradí se novými uzly, které zahrnují opravený modul runtime. Dostupné možnosti upgradu můžete zobrazit spuštěním následujícího příkazu s využitím Azure CLI:

az aks get-upgrades -n myClusterName -g myResourceGroup

Pokud chcete upgradovat na příslušnou verzi, spusťte následující příkaz:

az aks upgrade -n myClusterName -g myResourceGroup -k <nová verze Kubernetes>

Můžete také upgradovat z webu Azure Portal.

Po dokončení tohoto upgradu můžete zkontrolovat, že se oprava povedla, a to spuštěním následujícího příkazu:

kubectl get nodes -o wide

Pokud všechny uzly ve sloupci modulu runtime kontejneru uvádějí docker://3.0.4, úspěšně jste upgradovali na novou verzi.

Nezapomeňte, že uzly založené na grafickém procesoru ještě tento nový modul runtime kontejneru nepodporují. Jakmile bude pro tytu uzly k dispozici oprava, poskytneme další aktualizaci služeb.

Podrobnosti obsahuje Vydaná verze opravy hotfix k AKS na GitHubu.