지금 이용 가능

AKS의 CVE-2019-5736 및 runC 취약성

게시된 날짜: 2월 13, 2019

최근 Docker 및 관련 컨테이너 엔진을 지원하는 하위 수준 컨테이너 런타임인 runC에 있는 보안 취약성(AKS(Azure Kubernetes Service)에 영향을 미침)이 발표되었습니다. Microsoft는 모범 사례로, Microsoft가 유지 관리하는 해당 서비스에 OCI(Open Container Initiative) 업데이트를 적용합니다.

Microsoft는 이 취약성을 해결하기 위해 OCI 업데이트가 포함된 새 버전의 Moby 컨테이너 런타임을 빌드했습니다. 이 새로운 컨테이너 런타임 릴리스를 사용하려면 Kubernetes 클러스터를 업그레이드해야 합니다. 어떤 업그레이드이든 모든 기존 노드를 제거하고 패치된 런타임이 포함된 새 노드로 바꾸기 때문에 충분합니다. Azure CLI에서 다음 명령을 수행하면 사용 가능한 업그레이드 경로를 확인할 수 있습니다.

az aks get-upgrades -n myClusterName -g myResourceGroup

지정 버전으로 업그레이드하려면 다음 명령을 실행합니다.

az aks upgrade -n myClusterName -g myResourceGroup -k <new Kubernetes version>

Azure Portal에서 업그레이드할 수도 있습니다.

업그레이드가 완료되면, 다음 명령을 실행하여 패치되었는지 확인할 수 있습니다.

kubectl get nodes -o wide

모든 노드에서 컨테이너 런타임 열에 docker://3.0.4를 나열하면 새 릴리스로 업그레이드한 것입니다.

GPU 기반 노드는 새 컨테이너 런타임을 아직 지원하지 않습니다. Microsoft는 이 노드에 대한 수정을 사용할 수 있게 되면 다른 서비스 업데이트를 제공하겠습니다.

AKS GitHub 핫픽스 릴리스를 참조하세요.

  • Azure Kubernetes Service(AKS)
  • Security