2月12日，春节刚过。朋友圈就看到《runC爆严重漏洞：Kubernetes、Docker等中招》的消息。

runC 是 Docker，Kubernetes 等依赖容器的应用程序的底层容器运行时。此次爆出的严重安全漏洞可使攻击者以 root 身份在主机上执行任何命令。

容器的安全性一直是容器技术的一个短板。关于容器最大的安全隐患是攻击者可以使用恶意程序感染容器，更严重时可以攻击主机系统。

2019年2月11日，研究人员通过oss-security邮件列表（https://www.openwall.com/lists/oss-security/2019/02/11/2）披露了runc容器逃逸漏洞的详情，根据OpenWall的规定EXP将在2019年2月18日公开。

同样2月12日，阿里云文档中心已经发布《修复runc漏洞CVE-2019-5736的公告》。

阿里云容器服务已修复runc漏洞CVE-2019-5736。本文介绍该漏洞的影响范围及解决方法。

背景：Docker、containerd或者其他基于runc的容器在运行时存在安全漏洞，攻击者可以通过特定的容器镜像或者exec操作获取到宿主机runc执行时的文件句柄并修改掉runc的二进制文件，从而获取到宿主机的root执行权限。

在云栖社区的Kubernetes社区大群(钉钉群已近1000人）中，已有同学询问：

阿里的k8s容器服务已经修复了？ 无需人工处理？
群主回复：新集群不受影响。老集群需要手动升级docker或者runc受影响的版本，可根据文档中具体的修复步骤进行操作。

更多讨论与观点，欢迎参加相关聚能聊话题

想查阅更多内容，欢迎关注“容器服务Docker&Kubernetes”的云栖号。

如想与更多志同道合的开发者一起交流，欢迎在公告及博文下方，或进钉群讨论。

Kubernetes社区大群入群方式：
一：点击链接即可入群：https://dwz.cn/G2EELckH
二：扫描下方二维码进群：