服务公告
RUNC容器逃逸漏洞(CVE-2019-5736)安全预警
2019-02-13
一、概要
近日业界公布了开源容器运行工具runc存在执行任意代码漏洞(CVE-2019-5736),漏洞允许恶意容器(以最少的用户交互)覆盖host上的runc文件,从而在host上以root权限执行任意代码。所有使用到runc的容器服务和产品(如Docker、Kubernetes等)均受漏洞影响。
租户如有使用基于runc的容器,建议尽快升级修复漏洞。
利用漏洞:CVE-2019-5736
参考链接:
https://www.openwall.com/lists/oss-security/2019/02/11/2
二、威胁级别
威胁级别:【严重】
(说明:威胁级别共四级:一般、重要、严重、紧急。)
三、漏洞影响范围
runc的所有版本均受影响,所有使用runc的容器服务和产品(如Docker、k8s等)也受影响。
四、修复方法
runc官方给出的修复方法如下:
https://github.com/opencontainers/runc/commit/0a8e4117e7f715d5fbeef398405813ce8e88558b
Docker升级到18.09.2及以上:
https://github.com/docker/docker-ce/releases/tag/v18.09.2
Kubernetes的修复方法:
https://kubernetes.io/blog/2019/02/11/runc-and-cve-2019-5736/
注意:修复漏洞前请将资料备份,并进行充分测试。
