CVE-2019-5736 og runC-sikkerhedsrisiko i AKS
Dato for publicering: 13 februar, 2019
Der blev for nylig gjort opmærksom på en sikkerhedsrisiko) i runC, dvs. den objektbeholderkørsel på lavt niveau, som understøtter Docker og tilknyttede objektbeholderprogrammer og påvirker AKS (Azure Kubernetes Service). Som bedste praksis anvender vi OCI-opdateringen (Open Container Initiative) for de relevante tjenester, vi vedligeholder.
Microsoft har bygget en ny version af Moby-objektbeholderkørslen, som inkluderer opdateringen OCI for at tage hånd om denne sikkerhedsrisiko. Hvis du vil anvende udgivelsen af den nye objektbeholderkørsel, skal du opgradere din Kubernetes-klynge. Alle opgraderinger vil være tilstrækkelige, da det vil sikre, at alle eksisterende noder fjernes og erstattes med nye noder, der inkluderer den reparerede kørsel. Du kan se de tilgængelige opgraderingsstier ved at køre følgende kommando med Azure CLI:
az aks get-upgrades -n myClusterName -g myResourceGroup
Hvis du vil opgradere til en bestemt version, skal du køre følgende kommando:
az aks upgrade -n myClusterName -g myResourceGroup -k <new Kubernetes version>
Du kan også opgradere via Azure Portal.
Når opgraderingen er udført, kan du bekræfte rettelsen ved at køre følgende kommando:
kubectl get nodes -o wide
Hvis docker://3.0.4 er angivet for alle noder i kolonnen Objektbeholderkørsel, er opgraderingen til den nye version fuldført.
Bemærk, at GPU-baserede noder ikke understøtter den nye objektbeholderkørsel endnu. Vi lancerer en ny tjenesteopdatering, når der er en rettelse tilgængelig for disse noder.