【漏洞预警】runc容器逃逸漏洞(CVE-2019-5736)

2019年2月13日，阿里云云盾应急响应中心监测到oss-sec披露runc容器全版本存在逃逸漏洞(CVE-2019-5736)，攻击者利用漏洞可能获取控制宿主机的权限。

漏洞描述   
Docker、containerd或者其他基于runc的容器在运行时存在安全漏洞，攻击者可以通过特定的容器镜像或者exec操作获取到宿主机runc执行时的文件句柄并修改掉runc的二进制文件，从而获取到宿主机的root执行权限。
    
漏洞评级    
高危   

影响版本   
1、对于阿里云容器服务而言，影响范围如下：   
Docker版本 < 18.09.2 的所有Docker Swarm集群和Kubernetes集群（不包含Serverless Kubernetes集群）
          
2、对于用户自建的Docker/Kubernetes环境而言，影响范围如下：
Docker版本 < 18.09.2 或者使用 runc版本 <= 1.0-rc6的环境。请自行根据厂商建议进行修复。

安全建议

1、新建Kubernetes1.11或1.12集群。容器服务新创建的1.11或1.12版本的Kubernetes集群已经包含修复该漏洞的Docker版本。
2、升级Docker。升级已有集群的Docker到18.09.2或以上版本。该方案会导致容器和业务中断。
3、仅升级runc（针对Docker版本17.06）。详情参考：https://help.aliyun.com/document_detail/107320.html ?source=5176.11533457&userCode=2a7uv47d