CVE-2019-5736 et vulnérabilité de runC dans AKS

Une vulnérabilité de sécurité a récemment été annoncée dans runC, le runtime de conteneur de niveau inférieur qui prend en charge Docker et les moteurs de conteneur associés, ce qui affecte Azure Kubernetes Service (AKS). Nous vous recommandons d’appliquer la mise à jour Open Container Initiative (OCI) aux services applicables que nous gérons.

Microsoft a créé une nouvelle version du runtime de conteneur Moby qui inclut la mise à jour OCI pour corriger cette vulnérabilité. Pour utiliser cette nouvelle version de runtime de conteneur, vous devez mettre à niveau votre cluster Kubernetes. Toute mise à niveau suffit, car elle garantit que tous les nœuds existants sont supprimés et remplacés par de nouveaux nœuds incluant le runtime corrigé. Vous pouvez voir les chemins de mise à niveau disponibles en exécutant la commande suivante avec Azure CLI :

az aks get-upgrades -n myClusterName -g myResourceGroup

Pour effectuer une mise à niveau vers une version donnée, exécutez la commande suivante :

az aks upgrade -n myClusterName -g myResourceGroup -k <new Kubernetes version>

Vous pouvez également effectuer la mise à niveau à partir du portail Azure.

Une fois la mise à niveau effectuée, vous pouvez vérifier que votre correctif est correct en exécutant la commande suivante :

kubectl get nodes -o wide

Si tous les nœuds répertorient docker://3.0.4 dans la colonne Container Runtime, vous avez bien effectué la mise à niveau vers la nouvelle version.

Notez que les nœuds basés sur un GPU ne prennent pas encore en charge le nouveau runtime de conteneur. Nous fournirons une autre mise à jour de service lorsqu’un correctif sera disponible pour ces nœuds.

Consultez AKS GitHub Hotfix Release.