JÁ DISPONÍVEL

CVE-2019-5736 e vulnerabilidade do runC no AKS

Data da publicação: 13 fevereiro, 2019

Uma vulnerabilidade de segurança foi anunciada recentemente no runC, o tempo de execução de contêiner de baixo nível compatível com o Docker e os mecanismos de contêiner associados, que afetam o AKS (Serviço de Kubernetes do Azure). Como melhor prática, aplicaremos a atualização da OCI (Iniciativa de Contêiner Aberto) aos serviços relevantes que mantemos.

A Microsoft criou uma nova versão do tempo de execução do contêiner Moby que inclui a atualização da OCI para resolver essa vulnerabilidade. Para consumir essa nova versão do tempo de execução do contêiner, será necessário atualizar o cluster do Kubernetes. Qualquer atualização será suficiente, pois garantirá que todos os nós existentes sejam removidos e substituídos por nós novos que incluem o tempo de execução corrigido. É possível ver os caminhos de atualização disponíveis para você executando o seguinte comando com a CLI do Azure:

az aks get-upgrades -n myClusterName -g myResourceGroup

Para atualizar para uma determinada versão, execute o seguinte comando:

az aks upgrade -n myClusterName -g myResourceGroup -k <new Kubernetes version>

Também é possível atualizar no portal do Azure.

Após a atualização, verifique se a correção ocorreu executando o seguinte comando:

kubectl get nodes -o wide

Se todos os nós mostram docker://3.0.4 na coluna Tempo de Execução do Contêiner, isso significa que a nova versão foi atualizada com êxito.

Os nós baseados em GPU ainda não são compatíveis com o novo tempo de execução do contêiner. Ofereceremos outra atualização de serviço após obtermos uma correção para esses nós.

Consulte a Versão de hotfix do GitHub do AKS.

  • AKS (Serviço de Kubernetes do Azure)
  • Security