AKS 中的 CVE-2019-5736 及 runC 漏洞

最近的公告指出 runC 中存在資訊安全漏洞 (runC 為支援 Docker 及相關容器引擎的低層級容器執行階段)，而這影響了 Azure Kubernetes Service (AKS)。我們的最佳做法是，將 Open Container Initiative (OCI) 更新套用到所維護的適用服務。

Microsoft 建置了新的 Moby 容器執行階段版本，內含 OCI 更新，可以解決此漏洞。 您需要升級 Kubernetes 叢集，才能使用新的容器執行階段版本。任何升級皆適用，原因是它會確保所有現有的節點皆已移除，並取代為包含已修補執行階段的新節點。您可以使用 Azure CLI 執行下列命令，來查看可用的升級路徑：

az aks get-upgrades -n myClusterName -g myResourceGroup

若要升級到指定的版本，請執行下列命令：

az aks upgrade -n myClusterName -g myResourceGroup -k <new Kubernetes version>

您也可以在 Azure 入口網站中升級。

完成升級後，您可以執行下列命令來確認已修補：

kubectl get nodes -o wide

如果所有節點都將 docker://3.0.4 列於容器執行階段欄位中，代表您已成功升級到新的版本。

請注意，以 GPU 為基礎的節點尚不支援新的容器執行階段。我們將於該節點有可用修正後，另外提供服務更新。

請參閱 AKS GitHub Hotfix 版本。