Diretrizes sobre a CVE-2018-15664 para o Azure IoT Edge

Data da publicação: 24 julho, 2019

A Microsoft criou uma nova versão do tempo de execução de contêiner do Moby, v3.0.6, que inclui uma atualização para abordar a vulnerabilidade recém-reportada CVE-2018-15664. Recomendamos que você atualize o tempo de execução de contêiner de seu dispositivo IoT Edge, muito embora isso não afete os dispositivos IoT Edge padrão. O produto não usa o comando 'docker cp', que é o ponto de ataque. No entanto, é possível que cenários avançados sejam vulneráveis. Módulos que foram criados com privilégios elevados e um soquete do Docker montado correm um risco maior.

Mais informações sobre esta vulnerabilidade podem ser encontradas aqui.

 

Use as instruções a seguir, conforme aplicável, para atualizar o Moby.

Linux baseado em Debian X64 (.deb):

  1. Siga as instruções para se registrar no feed de repositório de chave e software da Microsoft.
  2. sudo apt-get update
  3. sudo apt-get install moby-engine

Linux baseado em CentOS X64 (.rpm):

  1. curl -L https://aka.ms/moby-engine-x86_64-rpm-latest -o moby-engine-3.0.6-centos.x86_64.rpm
  2. sudo yum install -y ./moby-engine-3.0.6-centos.x86_64.rpm

Linux baseado em Debian ARM32 (por exemplo, Raspberry Pi):

  1. curl -L https://aka.ms/moby-engine-armhf-latest -o moby-engine_3.0.6_armhf.deb
  2. sudo dpkg -i ./moby-engine_3.0.6_armhf.deb

Atualize o Docker Engine (18.09.7 ou mais recente) se você estiver testando ou desenvolvendo com o Docker em vez do mecanismo moby desenvolvido pela Microsoft.

O Windows não é afetado.

  • Azure IoT Edge
  • Security

Produtos relacionados