Help us understand the problem. What is going on with this article?

三大クラウドのrunc脆弱性(CVE-2019-5736)対応状況メモ

More than 1 year has passed since last update.

2019/2/13 Azureについて追記しました

はじめに

コンテナのラインタイム runc にImportantレベルの脆弱性(CVE-2019-5736)が発表されました。
悪意のあるイメージを実行するとホストノード上でroot権限を取得することが可能になります。

各プラットフォームの対応状況についてはSIOSさんのセキュリティBlogが参考になります。

runcの脆弱性情報(Important: CVE-2019-5736)
https://security.sios.com/vulnerability/runc-security-vulnerability-20190211.html

この記事ではAWS/Azure/GCPの対応状況をまとめておきます。

AWS

Container Security Issue (CVE-2019-5736)
https://aws.amazon.com/jp/security/security-bulletins/AWS-2019-002/

Amazon Linux/Amazon Linux 2

Dockerのアップデート版がAmazon Linux 2およびAmazon Linux AMI 2018.03リポジトリで提供済み
https://alas.aws.amazon.com/ALAS-2019-1156.html

ECS

最新のECS-Optimized AMIからコンテナインスタンスを起動する。

(言語を英語で表示すると最新のAMI IDが表示されます)

EKS

最新のEKS Optimized AMIからワーカーノードを起動する

EKS-Optimized AMI
https://docs.aws.amazon.com/eks/latest/userguide/eks-optimized-ami.html

Fargate

Platform Version 1.3.0で問題を軽減可能
古いプラットフォームバージョン(1.0.0/1.1.0/1.2.0)は2019年3月15日までにパッチが提供される

AWS Fargate Platform Versions
https://docs.aws.amazon.com/AmazonECS/latest/developerguide/platform_versions.html

修正プログラムが適用されていないすべてのタスクは、2019年4月19日までに強制的に停止される

Task Retirement
https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-retirement.html

AWS Batch

最新のECS-Optimized AMIを使用するようにCompute Environmentを変更する。
Compute Environment のデフォルトAMIとして最新のECS-Optimized AMIが使われるよう変更されている。

Elastic Beanstalk

最新のプラットフォームバージョンを使用する。
Managed Platform Updatesが有効な環境の場合は自動で更新される。

Release: AWS Elastic Beanstalk Docker platform updates on February 11, 2019
https://docs.aws.amazon.com/ja_jp/elasticbeanstalk/latest/relnotes/release-2019-02-11-docker.html

Cloud9

初回起動時に自動でパッチが適用される。
既存のEC2ベースで使用している場合は、新しいCloud9バージョンでインスタンスを作成する必要がある。

SageMaker

2月11日以降に起動されたすべてのリソースには最新の更新が含まれている。
2月11日より前に作成されたカスタムコードを使用している場合は手動のジョブ再起動が推奨される。
稼働中のすべてのエンドポイントは2月11日より前に作成されたすべてのエンドポイントは、3月11日までに
自動的に更新される予定。

Azure

AKS

AKS 2019-02-12 - Hotfix Release
https://github.com/Azure/AKS/releases/tag/2019-02-12

Kubernetes 1.12.5、1.11.7、1.10.12、1.9.11がリリースされた。
12am PST 2019-02-13 までにロールアウトされる予定。
問題を軽減するには上記のバージョンにAKSクラスターをアップグレードする必要がある。

IoT Edge

CVE-2019-5736 fix for Azure IoT Edge
https://azure.microsoft.com/en-us/updates/iot-edge-fix-cve-2019-5736/

Azure IoT Edgeデバイス向けのコンテナーランタイム修正プログラムが配布された。
更新が推奨されている。

GCP

February 11, 2019 (runc) - Security bulletins
https://cloud.google.com/kubernetes-engine/docs/security-bulletins

What should I do?
In order to upgrade your nodes, you must first upgrade your master to the newest version.

このパッチは GKE 1.10.12-gke.7, 1.11.6-gke.11, 1.11.7-gke.4,
および1.12.5-gke.5以降のリリースで利用可能です。

Ubuntuで実行するノードだけが影響を受ける。
Container-Optimized OS(COS)を利用している場合は影響を受けない。

hayao_k
2019 & 2020 APN AWS Top Engineers / AWS Community Builder に選出いただきました。 掲載内容は個人の見解であり、所属する企業を代表するものではありません。
saison_information_systems
モード1(守りのIT)・モード2(攻めのIT)を兼ね備えたバイモーダル・インテグレーターとしてデータ連携プラットフォームのHULFTシリーズ, リンケージサービス, 流通ITサービス, フィナンシャルITサービスを提供します。
https://home.saison.co.jp/
Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away