AKS の CVE-2019-5736 および runc の脆弱性
公開日: 2月 13, 2019
Docker と関連するコンテナー エンジンをサポートする低レベルのコンテナー ランタイムである runc の、セキュリティの脆弱性が最近発表されました。これは、Azure Kubernetes Service (AKS) に影響します。ベスト プラクティスとして、Microsoft が管理する適用可能なサービスに Open Container Initiative (OCI) 更新プログラムを適用します。
Microsoft はこの脆弱性に対処するため、OCI 更新プログラムが含まれる Moby コンテナー ランタイムの新しいバージョンを作成しました。 新しいコンテナー ランタイムのリリースを使用するには、Kubernetes クラスターをアップグレードする必要があります。アップグレードにより、確実に既存のすべてのノードが削除され、修正済みのランタイムが含まれる新しいノードと置き換えられるため、どのアップグレードでも十分です。Azure CLI で次のコマンドを実行すると、利用可能なアップグレード パスを確認できます。
az aks get-upgrades -n myClusterName -g myResourceGroup
指定のバージョンにアップグレードするには、次のコマンドを実行します。
az aks upgrade -n myClusterName -g myResourceGroup -k <new Kubernetes version>
Azure portal からアップグレードすることもできます。
アップグレードの完了後、次のコマンドを実行することで修正プログラムが適用されていることを確認できます。
kubectl get nodes -o wide
すべてのノードのコンテナー ランタイム列に docker://3.0.4 に表示されていたら、新しいリリースへのアップグレードは成功です。
GPU ベースのノードはまだ新しいコンテナー ランタイムをサポートしていません。そのようなノードの修正プログラムが利用可能になりましたら、改めてサービス更新プログラムを提供します。
AKS GitHub 修正プログラム リリースを参照してください。