2月12日，春节刚过。朋友圈就看到《runC爆严重漏洞：Kubernetes、Docker等中招》的消息。

runC 是 Docker，Kubernetes 等依赖容器的应用程序的底层容器运行时。此次爆出的严重安全漏洞可使攻击者以 root 身份在主机上执行任何命令。

容器的安全性一直是容器技术的一个短板。关于容器最大的安全隐患是攻击者可以使用恶意程序感染容器，更严重时可以攻击主机系统。

2019年2月11日，研究人员通过oss-security邮件列表（https://www.openwall.com/list...）披露了runc容器逃逸漏洞的详情，根据OpenWall的规定EXP将在2019年2月18日公开。

同样2月12日，阿里云文档中心已经发布《修复runc漏洞CVE-2019-5736的公告》。

阿里云容器服务已修复runc漏洞CVE-2019-5736。本文介绍该漏洞的影响范围及解决方法。

背景：Docker、containerd或者其他基于runc的容器在运行时存在安全漏洞，攻击者可以通过特定的容器镜像或者exec操作获取到宿主机runc执行时的文件句柄并修改掉runc的二进制文件，从而获取到宿主机的root执行权限。

在云栖社区的小伙伴中，已有同学询问：

阿里的k8s容器服务已经修复了？ 无需人工处理？

群主回复：新集群不受影响。老集群需要手动升级docker或者runc受影响的版本，可根据文档中具体的修复步骤进行操作。

本文作者：云篆

阅读原文

本文为云栖社区原创内容，未经允许不得转载。