runc容器逃逸漏洞 CVE-2019-5736

简单地说就是在容器内可通过exec替换掉宿主机的exec来以full privilege的root权限shell。

2019年2月11日,研究人员通过oss-security邮件列表(https://www.openwall.com/lists/oss-security/2019/02/11/2)披露了runc容器逃逸漏洞的详情,根据OpenWall的规定EXP会在7天后也就是2019年2月18日公开。

修复方法,升级18.09.2或以上版本的docker,或者升级runc到1.0.0-rc4。

升级runc需要停止docker,为了避免业务出现问题需要逐一对节点做下线替换处理。

这里提供了了一个ubuntu环境一键升级方法k8s集群node runc的脚本,务必先测试再全量使用。

https://gist.github.com/mengskysama/4cac855ffbfed5ad245ab5958974cdee

添加新评论