現已提供

AKS 中的 CVE-2019-5736 及 runC 漏洞

已更新: 三月 01, 2019

最近的公告指出 runC 中存在資訊安全漏洞 (runC 為支援 Docker 及相關容器引擎的低層級容器執行階段),而這影響了 Azure Kubernetes Service (AKS)。我們的最佳做法是,將 Open Container Initiative (OCI) 更新套用到所維護的適用服務。

Microsoft 建置了新的 Moby 容器執行階段版本,內含 OCI 更新,可以解決此漏洞。 您需要升級 Kubernetes 叢集,才能使用新的容器執行階段版本。任何升級皆適用,原因是它會確保所有現有的節點皆已移除,並取代為包含已修補執行階段的新節點。您可以使用 Azure CLI 執行下列命令,來查看可用的升級路徑:

az aks get-upgrades -n myClusterName -g myResourceGroup

若要升級到指定的版本,請執行下列命令:

az aks upgrade -n myClusterName -g myResourceGroup -k <new Kubernetes version>

您也可以在 Azure 入口網站中升級。

完成升級後,您可以執行下列命令來確認已修補:

kubectl get nodes -o wide

如果所有節點都將 docker://3.0.4 列於容器執行階段欄位中,代表您已成功升級到新的版本。

請注意,以 GPU 為基礎的節點尚不支援新的容器執行階段。我們將於該節點有可用修正後,另外提供服務更新。

請參閱 AKS GitHub Hotfix 版本

  • Azure Kubernetes Service (AKS)
  • Security