Conseils sur la vulnérabilité CVE-2018-15664 pour Azure IoT Edge

Publié le mercredi 24 juillet 2019

Microsoft a créé la version v3.0.6 du runtime de conteneur Moby qui inclut une mise à jour permettant de résoudre la vulnérabilité CVE-2018-15664 récemment signalée. Nous vous recommandons de mettre à jour le runtime de conteneur sur votre appareil IoT Edge même s’il n’affecte pas les appareils IoT Edge standard. Le produit n’utilise pas la commande « docker cp » qui constitue le point d’attaque. Cependant, il est possible que les scénarios avancés soient vulnérables. Les modules créés avec des privilèges élevés et un socket Docker monté présentent un risque plus élevé.

Des informations supplémentaires sur cette vulnérabilité sont disponibles ici.

 

Utilisez les instructions suivantes, le cas échéant, pour mettre à jour Moby.

Linux Debian x64 (.deb) :

  1. Suivez les instructions pour vous inscrire à la clé Microsoft et au flux des référentiels de logiciels.
  2. sudo apt-get update
  3. sudo apt-get install moby-engine

Linux CentOS x64 (.rpm) :

  1. curl -L https://aka.ms/moby-engine-x86_64-rpm-latest -o moby-engine-3.0.6-centos.x86_64.rpm
  2. sudo yum install -y ./moby-engine-3.0.6-centos.x86_64.rpm

Linux Debian ARM32 (par exemple Raspberry Pi) :

  1. curl -L https://aka.ms/moby-engine-armhf-latest -o moby-engine_3.0.6_armhf.deb
  2. sudo dpkg -i ./moby-engine_3.0.6_armhf.deb

Mettez à jour le moteur Docker (18.09.7 ou plus récent) si vous testez ou développez avec Docker au lieu du moteur moby créé par Microsoft.

Windows n’est pas affecté.

  • Azure IoT Edge
  • Security