A CVE-2019-5736 és a runC biztonsági rés az AKS-ben
Közzététel dátuma: február 13, 2019
Egy biztonsági rést jelentettek be a runC-ben, a Dockert és a hozzá tartozó tárolómotorokat támogató, alacsony szintű tároló-futtatókörnyezetben, amely az Azure Kubernetes Service-t (AKS-t) is érinti. Ajánlott eljárásként alkalmazzuk az OCI (Open Container Initiative) frissítést az általunk karbantartott szolgáltatásokra.
A Microsoft egy új verziót fejlesztett a Moby tároló-futtatókörnyezethez, amely az OCI frissítéssel orvosolja ezt a problémát. Az új tároló-futtatókörnyezet kiadásának használatba vételéhez frissítenie kell a Kubernetes-fürtjét. Bármilyen frissítés megfelel, mivel ezzel eltávolít minden meglévő csomópontot, amelyek helyére újakat telepít a frissített futtatókörnyezetben. Az elérhető frissítési útvonalakat az Azure CLI következő parancsával tekintheti meg:
az aks get-upgrades -n myClusterName -g myResourceGroup
Ha egy adott verzióra szeretne frissíteni, futtassa a következő parancsot:
az aks upgrade -n myClusterName -g myResourceGroup -k <új Kubernetes-verzió>
Az Azure Portalról is frissíthet.
A frissítés után a következő parancs futtatásával ellenőrizheti, hogy a javított verziót használja-e:
kubectl get nodes -o wide
Ha minden csomópont a docker://3.0.4 elemet tünteti fel a Tároló-futtatókörnyezet oszlopban, Ön sikeresen frissített az új kiadásra.
Vegye figyelembe, hogy a GPU-alapú csomópontok még nem támogatják az új tároló-futtatókörnyezetet. Amint elérhető javítás ezekhez a csomópontokhoz, kiadunk egy újabb szolgáltatásfrissítést.
További információt az AKS GitHub gyorsjavítási kiadásánál talál.