Vulnerabilidad CVE-2019-5736 de runC en AKS

Publicado el miércoles, 13 de febrero de 2019

Recientemente se anunció una vulnerabilidad de la seguridad en runC, el entorno de ejecución de contenedores de bajo nivel en el que se basan Docker y los motores de contenedores asociados, que afecta a Azure Kubernetes Service (AKS). Como procedimiento recomendado, aplicaremos la actualización Open Container Initiative (OCI) a los servicios correspondientes que mantenemos.

Microsoft ha creado una versión nueva del entorno de ejecución de contenedores Moby que incluye la actualización OCI para solucionar esta vulnerabilidad. Para usar esta nueva versión del entorno de ejecución de contenedores, deberá actualizar su clúster de Kubernetes. Cualquier actualización será suficiente, porque asegurará que se quiten todos los nodos actuales y se reemplacen por nodos nuevos que incluyan el entorno de ejecución revisado. Para ver las rutas de actualización disponibles, ejecute el siguiente comando en la CLI de Azure:

az aks get-upgrades -n myClusterName -g myResourceGroup

Para actualizar a una versión determinada, ejecute el siguiente comando:

az aks upgrade -n myClusterName -g myResourceGroup -k <nueva versión de Kubernetes>

También puede llevar a cabo la actualización en Azure Portal.

Una vez finalizada la actualización, puede ejecutar el siguiente comando para comprobar que se ha aplicado la revisión:

kubectl get nodes -o wide

Si todos los nodos indican docker://3.0.4 en la columna Container Runtime (Entorno de ejecución de contenedores), significa que la actualización a la nueva versión se ha realizado correctamente.

Tenga en cuenta que los nodos basados en GPU no admiten todavía el nuevo entorno de ejecución de contenedores. Proporcionaremos otra actualización del servicio cuando haya una corrección disponible para esos nodos.

Consulte la versión de revisión de AKS en GitHub.

  • Azure Kubernetes Service (AKS)
  • Security