CVE-2019-5736 и уязвимость runC в AKS
Дата публикации: 13 февраля, 2019
Недавно было объявлено об обнаружении уязвимости в runC — низкоуровневой среде выполнения контейнера, поддерживающей Docker и соответствующие подсистемы контейнеров. Эта уязвимость затронула Службу Azure Kubernetes (AKS). Мы реализуем обновление спецификации Open Container Initiative (OCI) в соответствующих службах, которые мы поддерживаем.
Корпорация Майкрософт разработала новую версию среды выполнения контейнера Moby с обновлением спецификации OCI, устраняющим эту уязвимость. Чтобы получить этот новый выпуск среды выполнения контейнера, вам необходимо обновить свой кластер Kubernetes. Будет достаточно выполнить любое обновление, так как при его выполнении все существующие узлы будут удалены и заменены новыми с установкой исправленной среды выполнения. Чтобы просмотреть доступные вам пути выполнения обновления, выполните такую команду в Azure CLI:
az aks get-upgrades -n имя_моего_кластера -g моя_группа_ресурсов.
Чтобы обновить систему до требуемой версии, выполните такую команду:
az aks upgrade -n имя_моего_кластера -g моя_группа_ресурсов -k <новая_версия_Kubernetes>.
Вы также можете выполнить обновление на портале Azure.
По завершении обновления можно проверить, установлена ли исправленная версия, выполнив такую команду:
kubectl get nodes -o wide.
Если в столбце среды выполнения контейнера для всех узлов указано docker://3.0.4, значит, вы успешно выполнили обновление до нового выпуска.
Обратите внимание, что узлы с GPU пока не поддерживают новую среду выполнения контейнера. Мы представим новое обновление, когда проблему удастся решить для таких узлов.
См. сведения о выпуске исправления для AKS на GitHub.