Sicherheitsrisiko CVE-2019-5736 in runC in AKS
Veröffentlichungsdatum: 13 Februar, 2019
Vor Kurzem wurde ein Sicherheitsrisiko in runC, der Containerruntime auf niedriger Ebene, die Docker und die zugehörigen Container-Engines unterstützt, veröffentlicht, das Auswirkungen auf Azure Kubernetes Service (AKS) hat. Als Best Practice wenden wir das OCI-Update (Open Container Initiative) auf die von uns verwalteten Dienste an, die dies betrifft.
Microsoft hat eine neue Version der Moby-Containerruntime erstellt, die auch das OCI-Update zum Beheben dieses Sicherheitsrisikos enthält. Wenn Sie das neue Release der Containerruntime nutzen möchten, müssen Sie Ihren Kubernetes-Cluster upgraden. Die Art des Upgrades ist dabei egal, da dadurch sichergestellt wird, dass alle vorhandenen Knoten entfernt und durch neue Knoten mit der gepatchten Runtime ersetzt werden. Sie zeigen die möglichen Upgradepfade an, indem Sie den folgenden Befehl in der Azure-Befehlszeilenschnittstelle ausführen:
az aks get-upgrades -n meinClustername -g meineRessourcengruppe
Zum Upgraden auf eine bestimmte Version führen Sie den folgenden Befehl aus:
az aks upgrade -n meinClustername -g meineRessourcengruppe -k <neue Kubernetes-Version>
Sie können das Upgrade auch über das Azure-Portal ausführen.
Nach Abschluss des Upgrades können Sie den Patch überprüfen, indem Sie den folgenden Befehl ausführen:
kubectl get nodes -o wide
Wenn für alle Knoten in der Spalte mit der Containerruntime „docker://3.0.4“ aufgeführt wird, war das Upgrade auf das neue Release erfolgreich.
Beachten Sie, dass GPU-basierte Knoten die neue Containerruntime noch nicht unterstützen. Wir werden ein weiteres Dienstupdate bereitstellen, wenn eine Fehlerbehebung für diese Knoten verfügbar ist.
Weitere Informationen finden Sie unter dem AKS-Hotfixrelease auf GitHub.