AWS
Azure
Security
docker
gcp

三大クラウドのrunc脆弱性(CVE-2019-5736)対応状況メモ

2019/2/13 Azureについて追記しました


はじめに

コンテナのラインタイム runc にImportantレベルの脆弱性(CVE-2019-5736)が発表されました。

悪意のあるイメージを実行するとホストノード上でroot権限を取得することが可能になります。

各プラットフォームの対応状況についてはSIOSさんのセキュリティBlogが参考になります。

runcの脆弱性情報(Important: CVE-2019-5736)

https://security.sios.com/vulnerability/runc-security-vulnerability-20190211.html

この記事ではAWS/Azure/GCPの対応状況をまとめておきます。


AWS

Container Security Issue (CVE-2019-5736)

https://aws.amazon.com/jp/security/security-bulletins/AWS-2019-002/


Amazon Linux/Amazon Linux 2

Dockerのアップデート版がAmazon Linux 2およびAmazon Linux AMI 2018.03リポジトリで提供済み

https://alas.aws.amazon.com/ALAS-2019-1156.html


ECS

最新のECS-Optimized AMIからコンテナインスタンスを起動する。

(言語を英語で表示すると最新のAMI IDが表示されます)


EKS

最新のEKS Optimized AMIからワーカーノードを起動する

EKS-Optimized AMI

https://docs.aws.amazon.com/eks/latest/userguide/eks-optimized-ami.html


Fargate

Platform Version 1.3.0で問題を軽減可能

古いプラットフォームバージョン(1.0.0/1.1.0/1.2.0)は2019年3月15日までにパッチが提供される

AWS Fargate Platform Versions

https://docs.aws.amazon.com/AmazonECS/latest/developerguide/platform_versions.html

修正プログラムが適用されていないすべてのタスクは、2019年4月19日までに強制的に停止される

Task Retirement

https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-retirement.html


AWS Batch

最新のECS-Optimized AMIを使用するようにCompute Environmentを変更する。

Compute Environment のデフォルトAMIとして最新のECS-Optimized AMIが使われるよう変更されている。


Elastic Beanstalk

最新のプラットフォームバージョンを使用する。

Managed Platform Updatesが有効な環境の場合は自動で更新される。

Release: AWS Elastic Beanstalk Docker platform updates on February 11, 2019

https://docs.aws.amazon.com/ja_jp/elasticbeanstalk/latest/relnotes/release-2019-02-11-docker.html


Cloud9

初回起動時に自動でパッチが適用される。

既存のEC2ベースで使用している場合は、新しいCloud9バージョンでインスタンスを作成する必要がある。


SageMaker

2月11日以降に起動されたすべてのリソースには最新の更新が含まれている。

2月11日より前に作成されたカスタムコードを使用している場合は手動のジョブ再起動が推奨される。

稼働中のすべてのエンドポイントは2月11日より前に作成されたすべてのエンドポイントは、3月11日までに

自動的に更新される予定。


Azure


AKS

AKS 2019-02-12 - Hotfix Release

https://github.com/Azure/AKS/releases/tag/2019-02-12

Kubernetes 1.12.5、1.11.7、1.10.12、1.9.11がリリースされた。

12am PST 2019-02-13 までにロールアウトされる予定。

問題を軽減するには上記のバージョンにAKSクラスターをアップグレードする必要がある。


IoT Edge

CVE-2019-5736 fix for Azure IoT Edge

https://azure.microsoft.com/en-us/updates/iot-edge-fix-cve-2019-5736/

Azure IoT Edgeデバイス向けのコンテナーランタイム修正プログラムが配布された。

更新が推奨されている。


GCP

February 11, 2019 (runc) - Security bulletins

https://cloud.google.com/kubernetes-engine/docs/security-bulletins


What should I do?

In order to upgrade your nodes, you must first upgrade your master to the newest version.


このパッチは GKE 1.10.12-gke.7, 1.11.6-gke.11, 1.11.7-gke.4,

および1.12.5-gke.5以降のリリースで利用可能です。

Ubuntuで実行するノードだけが影響を受ける。

Container-Optimized OS(COS)を利用している場合は影響を受けない。