Vejledning i CVE-2018-15664 til Azure IoT Edge

Opdateret: 24 juli, 2019

Microsoft har bygget en ny version af Moby-objektbeholderkørslen (v3.0.6), som inkluderer en opdatering, der skal håndtere en nyligt rapporteret sikkerhedsrisiko, CVE-2018-15664. Vi anbefaler, at du opdaterer objektbeholderkørslen på din IoT Edge-enhed, selvom det ikke påvirker IoT Edge-standardenheder. Produktet bruger ikke kommandoen 'docker cp', som er mål for angrebet. Det er dog muligt, at avancerede scenarier udgør en sikkerhedsrisiko. Moduler, der er oprettet vha. administratorrettigheder, og som har en monteret docker socket, udgør en større risiko.

Du kan finde flere oplysninger om denne sikkerhedsrisiko her.

 

Brug følgende instruktioner, hvis det er relevant, for at opdatere Moby.

Linux Debian-baseret X64 (.deb):

  1. Følg instruktionerne for at registrere dig til Microsofts nøgle- og softwarelagerfeed.
  2. sudo apt-get update
  3. sudo apt-get install moby-engine

Linux CentOS-baseret X64 (.rpm):

  1. curl -L https://aka.ms/moby-engine-x86_64-rpm-latest -o moby-engine-3.0.6-centos.x86_64.rpm
  2. sudo yum install -y ./moby-engine-3.0.6-centos.x86_64.rpm

Linux Debian-baseret ARM32 (f.eks. Raspberry Pi):

  1. curl -L https://aka.ms/moby-engine-armhf-latest -o moby-engine_3.0.6_armhf.deb
  2. sudo dpkg -i ./moby-engine_3.0.6_armhf.deb

Opdater Docker Engine (18.09.7 eller nyere), hvis du tester eller udvikler vha. Docker i stedet for den Microsoft-byggede moby-engine.

Windows er ikke berørt.

  • Azure IoT Edge
  • Security

Related Products