一、概要

近日業(yè)界公布了開源容器運(yùn)行工具runc存在執(zhí)行任意代碼漏洞（CVE-2019-5736），漏洞允許惡意容器(以最少的用戶交互)覆蓋host上的runc文件，從而在host上以root權(quán)限執(zhí)行任意代碼。所有使用到runc的容器服務(wù)和產(chǎn)品（如Docker、Kubernetes等）均受漏洞影響。

租戶如有使用基于runc的容器，建議盡快升級修復(fù)漏洞。

利用漏洞：CVE-2019-5736

參考鏈接：

https://www.openwall.com/lists/oss-security/2019/02/11/2

二、威脅級別

威脅級別：【嚴(yán)重】

（說明：威脅級別共四級：一般、重要、嚴(yán)重、緊急。）

三、漏洞影響范圍

runc的所有版本均受影響，所有使用runc的容器服務(wù)和產(chǎn)品（如Docker、k8s等）也受影響。

四、修復(fù)方法

runc官方給出的修復(fù)方法如下：

https://github.com/opencontainers/runc/commit/0a8e4117e7f715d5fbeef398405813ce8e88558b

Docker升級到18.09.2及以上：

https://github.com/docker/docker-ce/releases/tag/v18.09.2

Kubernetes的修復(fù)方法：

https://kubernetes.io/blog/2019/02/11/runc-and-cve-2019-5736/

注意：修復(fù)漏洞前請將資料備份，并進(jìn)行充分測試。