TILGJENGELIG NÅ

CVE-2019-5736 og runC sårbarhet i AKS

Publiseringsdato: 13 februar, 2019

Nylig ble et sikkerhetsproblem kunngjort i runC, beholder kjøretiden på lavnivå som støtter Docker og tilhørende containermotorer, som igjen påvirker Azure Kubernetes Service (AKS). Som en god praksis vil vi bruke Open Container Initiative (OCI)-oppdateringen til relevante tjenester som vi opprettholder.

Microsoft har bygget en ny versjon av Moby-beholderens kjøretid som inkluderer OCI-oppdateringen for å løse dette sikkerhetsproblemet. For bruk av den nye utgivelsen på beholder kjøretid, må du oppgradere Kubernetes-klyngen. Enhver oppgradering vil være tilstrekkelig, fordi det vil sikre at alle eksisterende noder blir fjernet og erstattet med nye noder som inkluderer oppdatert kjøretid. Du kan se oppgraderingsbanene som er tilgjengelige for deg ved å kjøre følgende kommando med Azure CLI:

az aks get-upgrades -n myClusterName -g myResourceGroup

For å oppgradere til en angitt versjon, kjør følgende kommando:

az aks upgrade -n myClusterName -g myResourceGroup -k <new Kubernetes version>

Du kan også oppgradere fra Azure-portalen.

Når oppgraderingen er fullført, kan du bekrefte at du har oppdatert ved å kjøre følgende kommando:

kubectl get nodes -o wide

Hvis alle nodene viser docker: //3.0.4 i Container Runtime-kolonnen, har du oppgradert til den nye utgivelsen.

Vær oppmerksom på at GPU-baserte noder ikke støtter den nye beholderens kjøretid ennå. Vi vil utgi en ny tjenesteoppdatering når en løsning er tilgjengelig for disse nodene.

Vennligst se AKS GitHub Hotfix Release.

  • Azure Kubernetes Service (AKS)
  • Security