JÁ DISPONÍVEL

Vulnerabilidade CVE-2019-5736 e runC no AKS

Data de publicação: 13 fevereiro, 2019

Recentemente, foi anunciada uma vulnerabilidade de segurança no runC, o runtime do contentor de baixo nível que suporta o Docker e os motores de contentor associados, que afeta o Azure Kubernetes Service (AKS). Como melhor prática, vamos aplicar a atualização OCI (Open Container Initiative) aos serviços aplicáveis que mantemos.

A Microsoft criou uma nova versão do runtime do contentor Moby que inclui a atualização OCI para corrigir esta vulnerabilidade. Para consumir a nova versão de runtime do contentor, terá de atualizar o seu cluster do Kubernetes. Qualquer atualização será suficiente, uma vez que assegura que todos os nós existentes são removidos e substituídos pelos novos nós que incluem o runtime corrigido. Para ver os caminhos de atualização disponíveis, execute o seguinte comando na CLI do Azure:

az aks get-upgrades -n myClusterName -g myResourceGroup

Para atualizar para uma determinada versão, execute o seguinte comando:

az aks upgrade -n myClusterName -g myResourceGroup -k <nova versão do Kubernetes>

Também pode atualizar a partir do portal do Azure.

Quando a atualização estiver concluída, pode verificar a correção ao executar o seguinte comando:

kubectl get nodes -o wide

Se todos os nós listarem docker://3.0.4 na coluna Container Runtime, atualizou com êxito para a nova versão.

Tenha em atenção que os nós baseados em GPU ainda não suportam o novo runtime do contentor. Forneceremos outra atualização do serviço depois de ser disponibilizada uma correção para esses nós.

Veja a Versão de Correção do GitHub para o AKS.

  • Azure Kubernetes Service (AKS)
  • Security

Produtos Relacionados