AKS’de CVE-2019-5736 ve runC güvenlik açığı
Yayımlanma tarihi: 13 Şubat, 2019
Docker’ı ve ilişkili kapsayıcı altyapılarını destekleyen düşük düzeyli kapsayıcı çalışma zamanı olan runC’de, Azure Kubernetes Service’i (AKS) etkileyen bir güvenlik açığı olduğu kısa bir süre önce duyuruldu. En iyi deneyim olarak, kullandığımız geçerli hizmetlere Open Container Initiative (OCI) güncelleştirmesini uygulayacağız.
Microsoft, bu güvenlik açığını gidermek için OCI güncelleştirmesini içeren yeni bir Moby kapsayıcı çalışma zamanı sürümü oluşturdu. Bu yeni kapsayıcı çalışma zamanı sürümünü kullanmak için Kubernetes kümenizi yükseltmeniz gerekir. Mevcut tüm düğümlerin kaldırılarak, düzeltme eki uygulanan çalışma zamanını içeren yeni nodlarla değiştirilmesini sağlayacağından yükseltme yeterli olacaktır. Azure CLI ile şu komutu çalıştırarak, kullanabileceğiniz yükseltme yollarını görebilirsiniz:
az aks get-upgrades -n myClusterName -g myResourceGroup
Belirli bir sürüme yükseltmek için şu komutu çalıştırın:
az aks upgrade -n myClusterName -g myResourceGroup -k <yeni Kubernetes sürümü>
Azure portaldan da yükseltebilirsiniz.
Yükseltme tamamlandığında şu komutu çalıştırarak düzeltme eki uyguladığınızdan emin olabilirsiniz:
kubectl get nodes -o wide
Düğümlerin tümü için Kapsayıcı Çalışma Zamanı sütununda docker://3.0.4 yazıyorsa bu, yeni sürüme başarıyla yükselttiğiniz anlamına gelir.
GPU tabanlı düğümlerin yeni kapsayıcı çalışma zamanını henüz desteklemediğini unutmayın. Bu düğümler için düzeltme sağlandıktan bir hizmet güncelleştirmesi daha sunacağız.
Lütfen AKS GitHub Hotfix Sürümüne başvurun.