Runc容器逃逸漏洞修复说明
- 发布时间:2019年2月14日
- 更新时间:2019年2月14日
- 漏洞等级:HIGH
- CVE编号:CVE-2019-5736
UDocker已于2019年2月14日15:00修复runc容器逃逸漏洞,并通过攻防测试。UDocker团队已针对容器集群进行漏洞修复工作,修复方法为热补丁方式,对用户业务无影响,请知悉。
漏洞详情
runc被曝存在容器逃逸漏洞。该漏洞允许恶意容器(以最少的用户交互)覆盖host上的runc文件,从而在host上以root权限执行代码。在下面两种情况下,通过用户交互可以在容器中以root权限执行任意代码: 1.使用攻击者控制的镜像创建新容器。 2.进入到攻击者之前具有写入权限的现有容器中(docker exec)。
影响范围
2019年2月14日15:00之前创建的集群
UDocker的docker版本为1.12.6,runc版本<1.0-rc6,存在安全隐患,需要修复。
2019年2月14日15:00之后创建的集群已修复该漏洞,并已通过攻防测试无需担心。
修复方案
此次UDcoker集群的升级方案为热更新,漏洞修复期间不会对用户业务造成影响,全程无感知,请知悉。