RunC漏洞使攻击者能够逃离Linux容器，在主机上获得根目录

runC影响多个开放源代码容器管理系统的容器代码，可能允许攻击者逃离Linux容器并获得对主机操作系统的未经授权的根级别访问。

该漏洞名为CVE-2019-5736，由开源安全研究人员Adam Iwaniuk和Borys Popławski发现，并于周一由SUSE Linux GmbH的高级软件工程师兼runC维护人员Aleksa Sarai公开披露。

该漏洞存在于runC—中；一种轻量级的低级命令行工具，用于生成和运行容器，一种操作系统级虚拟化方法，用于使用单个内核在主机上运行多个隔离系统。

runC最初由Docker创建，是Docker、Kubernetes、ContainerD、CRI-O和其他依赖于容器的程序的默认容器运行时，并被主要的云主机和服务器提供商广泛使用。

runC容器逃逸漏洞[CVE-2019-5736]

虽然研究人员尚未公布该漏洞的全部技术细节，以便人们有时间进行修补，但红帽咨询公司表示，“该漏洞是在runC运行容器时处理系统文件描述符的方式中发现的。”

因此，精心设计的恶意容器或具有容器根访问权限的攻击者可以利用此漏洞（通过最少的用户交互）在运行该容器的主机上获得管理权限，最终危及其上运行的数百到数千个其他容器。

对于容器的root访问，攻击者必须：

• 使用攻击者控制的图像创建新容器，或
• 将（docker exec）附加到攻击者之前具有写入权限的现有容器中。

“恶意容器[then]可能会利用此漏洞覆盖runC二进制文件的内容，从而在容器主机系统上运行任意命令，”该建议指出。

这个漏洞有多严重？

Red Hat集装箱首席产品经理斯科特·麦卡蒂（Scott McCarty）表示，“虽然对于企业IT来说，几乎没有什么事件可以被定性为世界末日情景，但一系列影响广泛互联生产系统的漏洞……正是这个漏洞所代表的。”

runC漏洞：安全补丁更新和缓解

根据Red Hat的说法，如果启用了目标强制模式下的SELinux，该漏洞可以得到缓解，这是RedHat Enterprise Linux、CentOS和Fedora上的默认设置。

runC的维护者已经发布了一份git承诺来解决这个安全漏洞，但是所有构建在runC之上的项目都需要在他们的产品中加入补丁。

Debian和Ubuntu也承认他们的Linux发行版易受报告的漏洞攻击。这个问题还影响到使用LXC（Docker之前的Linux容器化工具）和Apache Mesos容器代码的容器系统。

主要供应商和云服务提供商已经推出了安全补丁来解决这个问题，包括谷歌、亚马逊、Docker和Kubernetes。

开源Kubernetes管理软件的创建者Rancher也发布了Docker遗留版本的补丁脚本。

如果您正在运行任何类型的容器，请考虑自身脆弱性，并将其升级为具有固定版本RUNC的图像，以防网络攻击。