在 Azure Linux 和 Azure 容器 Linux 上管理 CVE （ACL）

Azure Linux 和 Azure 容器 Linux（ACL）共享专用的常见漏洞和暴露（CVE）管道、已发布的公告和定义的服务级别协议（SLA），以便你可以放心地管理车队中的漏洞。 本文介绍了 CVE 如何被识别、修补并交付到你的系统中，具体取决于你使用的是哪种 Azure Linux 或 ACL 部署选项。

更新并验证 CVE 修复程序

1. 为 部署选项应用最新的安全更新。
2. 确认更新的包版本、更改日志或节点映像版本。

CVE 基础结构和 SLA

Microsoft负责从 Linux 内核到 CVE 基础结构、支持和端到端验证的完整 Azure Linux 和 Azure 容器 Linux（ACL）堆栈。 这意味着无需跟踪第三方分发中的漏洞并修补漏洞。 Azure Linux 负责识别适用的 CVE、发布修复，并满足生产包修复的 SLA 要求。

Azure Linux 团队每天两次根据国家漏洞数据库 (NVD)扫描其提供的软件包，以发现安全漏洞。 确认漏洞后，Azure Linux 团队与 Microsoft 安全响应中心（MSRC）0 协作，评估、修补和贡献上游的修复。

按部署选项提供的 CVE

CVE 修复的提供方式有所不同，具体取决于您运行的是通用型 Azure Linux、适用于 AKS 的 Azure Linux Container Host，还是适用于 AKS 的 Azure Container Linux（ACL）。 下表总结了 CVE 修复如何传播到每个部署选项：

已发布的公告

Azure Linux 和 Azure 容器 Linux （ACL） 安全公告通过 Microsoft 安全响应中心 Vulnerability Exploitability eXchange （VEX） 格式发布。 VEX 公告可帮助你确定漏洞是否实际影响特定配置，而不仅仅是是否安装了包。

Azure Linux 和 ACL CVE 也通过 Microsoft Security Update Guide （SUG） CVRF API 发布，因此你可以与其他Microsoft产品公告一起以编程方式引入Microsoft安全更新。

应用安全更新

使你的系统保持最新状态，以获取安全修复。 正确的机制取决于 部署选项。

在常规用途Azure Linux 上，使用 dnf 更新包来应用安全更新：

sudo dnf update -y

在 Azure 容器 Linux 上，使用 NodeImage 通道上的Azure Kubernetes 服务 (AKS)节点映像升级;不要尝试更新不可变 OS 上的单个包。

验证修复

在常规用途Azure Linux 上，根据需要验证包版本：

dnf info <PACKAGE_NAME>

在 Azure 容器 Linux 上，验证正在运行的节点映像版本（例如，使用 az aks nodepool list --query '[].nodeImageVersion'）是否与预期的版本匹配。

与漏洞扫描程序协调

Azure Linux 和 Azure 容器 Linux 支持常见的漏洞扫描工具。 有关支持的扫描程序的列表，请参阅 Azure Linux 合作伙伴解决方案。

为 Azure Linux 和 ACL 发布 VEX 公告后，使用 VEX 的扫描程序可以准确报告已安装的包是否实际上在这些平台上向给定 CVE 公开，从而减少误报。

报告安全问题

将 Azure Linux 或 Azure Container Linux 中可疑的安全漏洞报告给 Microsoft 安全响应中心 （MSRC）。 请不要通过公共GitHub问题报告安全漏洞。

相关内容

• Azure linux 安全性的概述