针对 Azure IoT Edge 的 CVE-2019-5736 修补程序
发布日期:二月 12, 2019
最近,runC 中爆出了一个安全漏洞 (CVE-2019-5736) - runC 是支持 Docker 及相关容器引擎的低级别容器运行时。由于该漏洞,在用户在正在运行的容器实例中运行 exec 命令来执行操作时,恶意容器能够提升托管计算机上的特权。
Microsoft 已构建出一款新版本的 Moby 容器运行时 (v3.0.4),它包含可处理此漏洞的 Open Container Initiative (OCI) 更新。我们强烈建议你按照以下说明更新你的 IoT Edge 设备上的容器运行时(若适用):
基于 Linux Debian 的 X64 (.deb):
- 要注册 Microsoft 密钥和软件注册库源,请按照说明进行操作。
- sudo apt-get update
- sudo apt-get install moby-engine
基于 Linux CentOS 的 X64 (.rpm):
- curl -L https://aka.ms/moby-engine-x86_64-rpm-latest -o moby-engine-3.0.4-centos.x86_64.rpm
- sudo yum install -y ./moby-engine-3.0.4-centos.x86_64.rpm
基于 Linux Debian 的 ARM32(例如 Raspberry Pi):
- curl -L https://aka.ms/moby-engine-armhf-latest -o moby_engine.deb
- sudo dpkg -i ./moby_engine.deb
若要使用 Docker 进行测试或开发(而不是使用 Microsoft 构建的 Moby 引擎),请更新 Docker 引擎(18.09.2 或更高版本)。
不影响 Windows 上的 Windows 容器。