Vulnerabilidade CVE-2019-5736 e runC no AKS
Data de publicação: 13 fevereiro, 2019
Recentemente, foi anunciada uma vulnerabilidade de segurança no runC, o runtime do contentor de baixo nível que suporta o Docker e os motores de contentor associados, que afeta o Azure Kubernetes Service (AKS). Como melhor prática, vamos aplicar a atualização OCI (Open Container Initiative) aos serviços aplicáveis que mantemos.
A Microsoft criou uma nova versão do runtime do contentor Moby que inclui a atualização OCI para corrigir esta vulnerabilidade. Para consumir a nova versão de runtime do contentor, terá de atualizar o seu cluster do Kubernetes. Qualquer atualização será suficiente, uma vez que assegura que todos os nós existentes são removidos e substituídos pelos novos nós que incluem o runtime corrigido. Para ver os caminhos de atualização disponíveis, execute o seguinte comando na CLI do Azure:
az aks get-upgrades -n myClusterName -g myResourceGroup
Para atualizar para uma determinada versão, execute o seguinte comando:
az aks upgrade -n myClusterName -g myResourceGroup -k <nova versão do Kubernetes>
Também pode atualizar a partir do portal do Azure.
Quando a atualização estiver concluída, pode verificar a correção ao executar o seguinte comando:
kubectl get nodes -o wide
Se todos os nós listarem docker://3.0.4 na coluna Container Runtime, atualizou com êxito para a nova versão.
Tenha em atenção que os nós baseados em GPU ainda não suportam o novo runtime do contentor. Forneceremos outra atualização do serviço depois de ser disponibilizada uma correção para esses nós.