FÅS NU

CVE-2019-5736 og runC-sikkerhedsrisiko i AKS

Dato for publicering: 13 februar, 2019

Der blev for nylig gjort opmærksom på en sikkerhedsrisiko) i runC, dvs. den objektbeholderkørsel på lavt niveau, som understøtter Docker og tilknyttede objektbeholderprogrammer og påvirker AKS (Azure Kubernetes Service). Som bedste praksis anvender vi OCI-opdateringen (Open Container Initiative) for de relevante tjenester, vi vedligeholder.

Microsoft har bygget en ny version af Moby-objektbeholderkørslen, som inkluderer opdateringen OCI for at tage hånd om denne sikkerhedsrisiko. Hvis du vil anvende udgivelsen af den nye objektbeholderkørsel, skal du opgradere din Kubernetes-klynge. Alle opgraderinger vil være tilstrækkelige, da det vil sikre, at alle eksisterende noder fjernes og erstattes med nye noder, der inkluderer den reparerede kørsel. Du kan se de tilgængelige opgraderingsstier ved at køre følgende kommando med Azure CLI:

az aks get-upgrades -n myClusterName -g myResourceGroup

Hvis du vil opgradere til en bestemt version, skal du køre følgende kommando:

az aks upgrade -n myClusterName -g myResourceGroup -k <new Kubernetes version>

Du kan også opgradere via Azure Portal.

Når opgraderingen er udført, kan du bekræfte rettelsen ved at køre følgende kommando:

kubectl get nodes -o wide

Hvis docker://3.0.4 er angivet for alle noder i kolonnen Objektbeholderkørsel, er opgraderingen til den nye version fuldført.

Bemærk, at GPU-baserede noder ikke understøtter den nye objektbeholderkørsel endnu. Vi lancerer en ny tjenesteopdatering, når der er en rettelse tilgængelig for disse noder.

Se i udgivelsen af hotfix til AKS GitHub.

  • Azure Kubernetes Service (AKS)
  • Security