runc容器逃逸漏洞预警
漏洞编号:
CVE-2019-5736
漏洞背景:
runc是一个根据OCI(Open Container Initiative)标准创建并运行容器的CLI tool。目前docker引擎内部也是基于runc构建的。2019年2月11日,研究人员通过oss-security邮件列表披露了runc容器逃逸漏洞的详情,根据OpenWall的规定EXP会在7天后也就是2019年2月18日公开。经360CERT研判,该漏洞可能影响广大云服务厂商,危害严重。
漏洞描述:
允许恶意容器覆盖主机上的 RunC 二进制文件,以在主机上获取root级别的代码执行,让攻击者能够以root身份运行任何命令。攻击方式是将容器中的目标二进制文件替换为返回的runC二进制文件,攻击者可以通过附加特权容器(将其连接到终端)或使用恶意镜像启动并使其自行执行。
影响范围:
除runc之外,Apache Mesos、LXC也在受影响之列
安全建议:
建议受影响的用户尽快打补丁。
更新各种受影响服务的容器。
