runC爆严重漏洞影响Kubernetes、Docker，阿里云修复runC漏洞的公告

共计 646 个字符，预计需要花费 2 分钟才能阅读完成。

2 月 12 日，春节刚过。朋友圈就看到《runC 爆严重漏洞：Kubernetes、Docker 等中招》的消息。
runC 是 Docker，Kubernetes 等依赖容器的应用程序的底层容器运行时。此次爆出的严重安全漏洞可使攻击者以 root 身份在主机上执行任何命令。
容器的安全性一直是容器技术的一个短板。关于容器最大的安全隐患是攻击者可以使用恶意程序感染容器，更严重时可以攻击主机系统。
2019 年 2 月 11 日，研究人员通过 oss-security 邮件列表（https://www.openwall.com/list…）披露了 runc 容器逃逸漏洞的详情，根据 OpenWall 的规定 EXP 将在 2019 年 2 月 18 日公开。
同样 2 月 12 日，阿里云文档中心已经发布《修复 runc 漏洞 CVE-2019-5736 的公告》。
阿里云容器服务已修复 runc 漏洞 CVE-2019-5736。本文介绍该漏洞的影响范围及解决方法。
背景：Docker、containerd 或者其他基于 runc 的容器在运行时存在安全漏洞，攻击者可以通过特定的容器镜像或者 exec 操作获取到宿主机 runc 执行时的文件句柄并修改掉 runc 的二进制文件，从而获取到宿主机的 root 执行权限。

在云栖社区的小伙伴中，已有同学询问：
阿里的 k8s 容器服务已经修复了？无需人工处理？
群主回复：新集群不受影响。老集群需要手动升级 docker 或者 runc 受影响的版本，可根据文档中具体的修复步骤进行操作。
本文作者：云篆
阅读原文
本文为云栖社区原创内容，未经允许不得转载。