服务公告

全部公告 > 安全公告 > RUNC容器逃逸漏洞(CVE-2019-5736)安全预警

RUNC容器逃逸漏洞(CVE-2019-5736)安全预警

2019-02-13


一、概要

近日业界公布了开源容器运行工具runc存在执行任意代码漏洞(CVE-2019-5736),漏洞允许恶意容器(以最少的用户交互)覆盖host上的runc文件,从而在host上以root权限执行任意代码。所有使用到runc的容器服务和产品(如Docker、Kubernetes等)均受漏洞影响。

租户如有使用基于runc的容器,建议尽快升级修复漏洞。

利用漏洞:CVE-2019-5736

参考链接:

https://www.openwall.com/lists/oss-security/2019/02/11/2

二、威胁级别

威胁级别:【严重】

(说明:威胁级别共四级:一般、重要、严重、紧急。)

三、漏洞影响范围

runc的所有版本均受影响,所有使用runc的容器服务和产品(如Docker、k8s等)也受影响。

四、修复方法

runc官方给出的修复方法如下:

https://github.com/opencontainers/runc/commit/0a8e4117e7f715d5fbeef398405813ce8e88558b

Docker升级到18.09.2及以上:

https://github.com/docker/docker-ce/releases/tag/v18.09.2

Kubernetes的修复方法:

https://kubernetes.io/blog/2019/02/11/runc-and-cve-2019-5736/

注意:修复漏洞前请将资料备份,并进行充分测试。