Guía sobre CVE-2018-15664 para Azure IoT Edge

Fecha de publicación: 24 julio, 2019

Microsoft ha creado una versión del entorno de ejecución de contenedores Moby (v3.0.6) que incluye una actualización para solucionar una vulnerabilidad detectada recientemente, CVE-2018-15664. Se recomienda actualizar el entorno de ejecución de contenedores del dispositivo IoT Edge, aunque no afecta a los dispositivos IoT Edge estándar. El producto no usa el comando "docker cp" que es el punto de ataque; sin embargo, sí es posible que los escenarios avanzados sean vulnerables. Los módulos creados con privilegios elevados y un socket de Docker montado están expuestos a un riesgo mucho mayor.

Puede encontrar más información sobre esta vulnerabilidad aquí.

 

Use las siguientes instrucciones, según proceda, para actualizar Moby.

Sistema x64 basado en Linux Debian (.deb):

  1. Siga las instrucciones para registrar la clave y la fuente del repositorio de software de Microsoft.
  2. sudo apt-get update
  3. sudo apt-get install moby-engine

Sistema x64 basado en Linux CentOS (.rpm):

  1. curl -L https://aka.ms/moby-engine-x86_64-rpm-latest -o moby-engine-3.0.6-centos.x86_64.rpm
  2. sudo yum install -y ./moby-engine-3.0.6-centos.x86_64.rpm

Sistema ARM32 basado en Linux Debian (por ejemplo, Raspberry Pi):

  1. curl -L https://aka.ms/moby-engine-armhf-latest -o moby-engine_3.0.6_armhf.deb
  2. sudo dpkg -i ./moby-engine_3.0.6_armhf.deb

Actualice Docker Engine (18.09.7 o posterior) si utiliza Docker para pruebas o desarrollo en lugar del motor Moby creado por Microsoft.

No afecta a Windows.

  • Azure IoT Edge
  • Security

Productos relacionados