Go to Qiita Advent Calendar 2024 Top
LoginSignup
58
26

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 5 years have passed since last update.

@hayao_kin株式会社セゾンテクノロジー

三大クラウドのrunc脆弱性(CVE-2019-5736)対応状況メモ

Last updated at Posted at 2019-02-12

2019/2/13 Azureについて追記しました

はじめに

コンテナのラインタイム runc にImportantレベルの脆弱性(CVE-2019-5736)が発表されました。
悪意のあるイメージを実行するとホストノード上でroot権限を取得することが可能になります。

各プラットフォームの対応状況についてはSIOSさんのセキュリティBlogが参考になります。

runcの脆弱性情報(Important: CVE-2019-5736)
https://security.sios.com/vulnerability/runc-security-vulnerability-20190211.html

この記事ではAWS/Azure/GCPの対応状況をまとめておきます。

AWS

Container Security Issue (CVE-2019-5736)
https://aws.amazon.com/jp/security/security-bulletins/AWS-2019-002/

Amazon Linux/Amazon Linux 2

Dockerのアップデート版がAmazon Linux 2およびAmazon Linux AMI 2018.03リポジトリで提供済み
https://alas.aws.amazon.com/ALAS-2019-1156.html

ECS

最新のECS-Optimized AMIからコンテナインスタンスを起動する。

(言語を英語で表示すると最新のAMI IDが表示されます)

EKS

最新のEKS Optimized AMIからワーカーノードを起動する

EKS-Optimized AMI
https://docs.aws.amazon.com/eks/latest/userguide/eks-optimized-ami.html

Fargate

Platform Version 1.3.0で問題を軽減可能
古いプラットフォームバージョン(1.0.0/1.1.0/1.2.0)は2019年3月15日までにパッチが提供される

AWS Fargate Platform Versions
https://docs.aws.amazon.com/AmazonECS/latest/developerguide/platform_versions.html

修正プログラムが適用されていないすべてのタスクは、2019年4月19日までに強制的に停止される

Task Retirement
https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-retirement.html

AWS Batch

最新のECS-Optimized AMIを使用するようにCompute Environmentを変更する。
Compute Environment のデフォルトAMIとして最新のECS-Optimized AMIが使われるよう変更されている。

Elastic Beanstalk

最新のプラットフォームバージョンを使用する。
Managed Platform Updatesが有効な環境の場合は自動で更新される。

Release: AWS Elastic Beanstalk Docker platform updates on February 11, 2019
https://docs.aws.amazon.com/ja_jp/elasticbeanstalk/latest/relnotes/release-2019-02-11-docker.html

Cloud9

初回起動時に自動でパッチが適用される。
既存のEC2ベースで使用している場合は、新しいCloud9バージョンでインスタンスを作成する必要がある。

SageMaker

2月11日以降に起動されたすべてのリソースには最新の更新が含まれている。
2月11日より前に作成されたカスタムコードを使用している場合は手動のジョブ再起動が推奨される。
稼働中のすべてのエンドポイントは2月11日より前に作成されたすべてのエンドポイントは、3月11日までに
自動的に更新される予定。

Azure

AKS

AKS 2019-02-12 - Hotfix Release
https://github.com/Azure/AKS/releases/tag/2019-02-12

Kubernetes 1.12.5、1.11.7、1.10.12、1.9.11がリリースされた。
12am PST 2019-02-13 までにロールアウトされる予定。
問題を軽減するには上記のバージョンにAKSクラスターをアップグレードする必要がある。

IoT Edge

CVE-2019-5736 fix for Azure IoT Edge
https://azure.microsoft.com/en-us/updates/iot-edge-fix-cve-2019-5736/

Azure IoT Edgeデバイス向けのコンテナーランタイム修正プログラムが配布された。
更新が推奨されている。

GCP

February 11, 2019 (runc) - Security bulletins
https://cloud.google.com/kubernetes-engine/docs/security-bulletins

What should I do?
In order to upgrade your nodes, you must first upgrade your master to the newest version.

このパッチは GKE 1.10.12-gke.7, 1.11.6-gke.11, 1.11.7-gke.4,
および1.12.5-gke.5以降のリリースで利用可能です。

Ubuntuで実行するノードだけが影響を受ける。
Container-Optimized OS(COS)を利用している場合は影響を受けない。

58
26
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
58
26

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?