Vulnerabilità di CVE-2019-5736 e runC nel servizio Azure Kubernetes
Data di pubblicazione: 13 febbraio, 2019
È stata annunciata di recente una vulnerabilità di sicurezza in runC, il runtime dei contenitori di basso livello che supporta Docker e i motori di contenitori associati, che interessa il servizio Azure Kubernetes. Come procedura consigliata applicheremo l'aggiornamento OCI (Open Container Initiative) ai servizi applicabili gestiti da noi.
Microsoft ha creato una nuova versione del runtime dei contenitori Moby che include l'aggiornamento OCI per la risoluzione di questa vulnerabilità. Per utilizzare la nuova versione del runtime dei contenitori, dovrai eseguire l'aggiornamento al cluster Kubernetes. Qualsiasi aggiornamento sarà sufficiente, perché assicurerà la rimozione di tutti i nodi esistenti e la sostituzione con nuovi nodi che includono il runtime con patch. Puoi visualizzare i percorsi di aggiornamento disponibili per te eseguendo il comando seguente con l'interfaccia della riga di comando di Azure:
az aks get-upgrades -n myClusterName -g myResourceGroup
Per eseguire l'aggiornamento a una versione specifica, esegui questo comando:
az aks upgrade -n myClusterName -g myResourceGroup -k <new Kubernetes version>
Puoi anche eseguire l'aggiornamento dal portale di Azure.
Al termine dell'aggiornamento puoi verificare che la patch sia stata applicata eseguendo questo comando:
kubectl get nodes -o wide
Se tutti i nodi elencano docker://3.0.4 nella colonna relativa al runtime dei contenitori, hai eseguito correttamente l'aggiornamento alla nuova versione.
Nota che i nodi basati su GPU non supportano ancora il nuovo runtime dei contenitori. Forniremo un altro aggiornamento del servizio quando sarà disponibile una correzione per questi nodi.
Vedi la versione dell'hotfix di GitHub per il servizio Azure Kubernetes.