Guía sobre CVE-2018-15664 para Azure IoT Edge

Publicado el miércoles, 24 de julio de 2019

Microsoft ha creado una versión del entorno de ejecución de contenedores Moby (v3.0.6) que incluye una actualización para solucionar una vulnerabilidad detectada recientemente, CVE-2018-15664. Se recomienda actualizar el entorno de ejecución de contenedores del dispositivo IoT Edge, aunque no afecta a los dispositivos IoT Edge estándar. El producto no usa el comando "docker cp" que es el punto de ataque; sin embargo, sí es posible que los escenarios avanzados sean vulnerables. Los módulos creados con privilegios elevados y un socket de Docker montado están expuestos a un riesgo mucho mayor.

Puede encontrar más información sobre esta vulnerabilidad aquí.

 

Use las siguientes instrucciones, según proceda, para actualizar Moby.

Sistema x64 basado en Linux Debian (.deb):

  1. Siga las instrucciones para registrar la clave y la fuente del repositorio de software de Microsoft.
  2. sudo apt-get update
  3. sudo apt-get install moby-engine

Sistema x64 basado en Linux CentOS (.rpm):

  1. curl -L https://aka.ms/moby-engine-x86_64-rpm-latest -o moby-engine-3.0.6-centos.x86_64.rpm
  2. sudo yum install -y ./moby-engine-3.0.6-centos.x86_64.rpm

Sistema ARM32 basado en Linux Debian (por ejemplo, Raspberry Pi):

  1. curl -L https://aka.ms/moby-engine-armhf-latest -o moby-engine_3.0.6_armhf.deb
  2. sudo dpkg -i ./moby-engine_3.0.6_armhf.deb

Actualice Docker Engine (18.09.7 o posterior) si utiliza Docker para pruebas o desarrollo en lugar del motor Moby creado por Microsoft.

No afecta a Windows.

  • Azure IoT Edge
  • Security