云容器引擎 CCE-修复Docker操作系统命令注入漏洞公告(CVE-2019-5736):漏洞修复方案

时间:2024-09-25 08:06:20

漏洞修复方案

  • 华为云CCE容器服务:

    华为云容器引擎已修复runc漏洞CVE-2019-5736。

  • 自建Kubernetes或使用开源容器引擎:
    • 升级Docker到18.09.2版本,由于开源Docker在17.06之后的版本做了较大变更,涉及架构解耦重构,该办法可能会导致用户容器业务中断,建议做好充分验证,并按节点逐步滚动升级。
    • 仅升级runc,对于17.06等Docker版本,可以不中断已运行业务,当前runc官方尚未发布包含漏洞修复补丁的新版本,如果要单独升级runc,用户可自行编译。
    • 另特别提醒,本次Docker官方补丁使用了高版本Linux内核的系统调用,在低版本内核部分版本上可能会失效,若补丁失效时,建议升级至3.17以上内核。华为云CCE容器服务提供的补丁针对官方补丁进行了优化适配,已验证在多版本内核上均可生效。
support.huaweicloud.com/bulletin-cce/cce_bulletin_0015.html