AKS 中的 CVE-2019-5736 与 runC 漏洞

最近，runC 中爆出了一个安全漏洞 - runC 是支持 Docker 及相关容器引擎的低级别容器运行时，可对 Azure Kubernetes 服务 (AKS) 产生影响。我们的最佳做法是将向由我们维护的适用服务应用开放容器计划 (OCI) 更新。

Microsoft 已构建出一款新版本的 Moby 容器运行时，它包含可处理此漏洞的 OCI 更新。 要适用这款新的容器运行时版本，你将需要升级 Kubernetes 群集。升级即可解决问题，因为这将保证移除所有现有节点，并将其替换为包含已修补运行时的节点。通过对 Azure CLI 运行以下命令，即可查看提供给你的升级路径：

az aks get-upgrades -n myClusterName -g myResourceGroup

要升级到给定版本，请运行以下命令：

az aks upgrade -n myClusterName -g myResourceGroup -k <new Kubernetes version>

你可通过 Azure 门户进行升级。

升级完毕后，可通过运行以下命令来验证你已解决漏洞：

kubectl get nodes -o wide

如果所有节点都在“容器运行时”列中列出 docker://3.0.4，则表示你已成功升级到新版本。

请注意，基于 GPU 的节点尚不支持新的容器运行时。在为在这些节点开发出修补程序之后，我们将再提供一次服务更新。

请参阅 AKS GitHub 修补程序发布。