TERAZ DOSTĘPNE

CVE-2019-5736 i luka w zabezpieczeniach środowiska runC w usłudze AKS

Published date: 13 lutego, 2019

Niedawno wykryto lukę w zabezpieczeniach środowiska runC — niskopoziomowego środowiska uruchomieniowego kontenera, które obsługuje platformę Docker i powiązane aparaty kontenerów — wpływającą na usługę Azure Kubernetes Service (AKS). Jako najlepsze rozwiązanie zastosujemy aktualizację OCI (Open Container Initiative) do odpowiednich usług, które obsługujemy.

Firma Microsoft skompilowała nową wersję środowiska uruchomieniowego kontenera Moby, która zawiera aktualizację OCI likwidującą tę lukę w zabezpieczeniach. Aby móc skorzystać z tego nowego wydania środowiska uruchomieniowego kontenera, należy uaktualnić klaster Kubernetes. Wystarczy jakiekolwiek uaktualnienie, ponieważ spowoduje ono usunięcie wszystkich istniejących węzłów i zastąpienie ich nowymi węzłami zawierającymi poprawione środowisko uruchomieniowe. Aby sprawdzić, jakie są dostępne dla Ciebie ścieżki uaktualniania, uruchom następujące polecenie interfejsu wiersza polecenia platformy Azure:

az aks get-upgrades -n NazwaMojegoKlastra -g MojaGrupaZasobów

Aby przeprowadzić uaktualnienie do konkretnej wersji, uruchom następujące polecenie:

az aks upgrade -n NazwaMojegoKlastra -g MojaGrupaZasobów -k <nowa wersja Kubernetes>

Uaktualnianie można również przeprowadzić za pomocą witryny Azure Portal.

Po zakończeniu uaktualniania możesz zweryfikować poprawkę, uruchamiając następujące polecenie:

kubectl get nodes -o wide

Jeśli w kolumnie środowiska uruchomieniowego kontenera dla wszystkich węzłów będzie widoczna wartość docker://3.0.4, uaktualnienie do nowego wydania powiodło się.

Należy pamiętać, że węzły oparte na procesorze GPU nie obsługują jeszcze nowego środowiska uruchomieniowego kontenera. Udostępnimy kolejną aktualizację usługi, kiedy poprawka będzie gotowa dla tych węzłów.

Zapoznaj się z wydaniem poprawki dla usługi AKS w usłudze GitHub.

  • Azure Kubernetes Service (AKS)
  • Security