Fehlerbehebung für CVE-2019-5736 für Azure IoT Edge

Veröffentlicht am Mittwoch, 13. Februar 2019

Vor Kurzem wurde ein Sicherheitsrisiko (CVE-2019-5736) in runC, der Containerruntime auf niedriger Ebene, die Docker und die zugehörigen Container-Engines unterstützt, veröffentlicht. Das Sicherheitsrisiko ermöglicht einem böswilligen Container das Erhöhen von Berechtigungen auf dem Hostcomputer, wenn ein Benutzer den exec-Befehl zum Ausführen eines Vorgangs in einer ausgeführten Instanz dieses Containers ausführt.

Microsoft hat eine neue Version der Moby-Containerruntime (v3.0.4) erstellt, die auch das OCI-Update (Open Container Initiative) zum Beheben dieses Sicherheitsrisikos enthält. Es wird dringend empfohlen, die Containerruntime auf Ihrem IoT Edge-Gerät anhand der folgenden Anweisungen (sofern zutreffend) zu aktualisieren:

Linux Debian-basiert x64 (.deb):

  1. Befolgen Sie die Anweisungen zum Registrieren beim Feed für das Microsoft-Schlüssel- und -Softwarerepository.
  2. sudo apt-get update
  3. sudo apt-get install moby-engine

Linux CentOS-basiert X64 (.rpm):

  1. curl -L https://aka.ms/moby-engine-x86_64-rpm-latest -o moby-engine-3.0.4-centos.x86_64.rpm
  2. sudo yum install -y ./moby-engine-3.0.4-centos.x86_64.rpm

Linux Debian-basiert ARM32 (z.B. Raspberry Pi):

  1. curl -L https://aka.ms/moby-engine-armhf-latest -o moby_engine.deb
  2. sudo dpkg -i ./moby_engine.deb

Führen Sie bitte ein Update der Docker-Engine (18.09.2 oder neuer) aus, wenn Sie mit Docker anstelle der von Microsoft erstellten Moby-Engine testen oder entwickeln.

Windows-Container unter Windows sind nicht betroffen. 

  • Azure IoT Edge
  • Security