新近爆出的runC容器逃逸漏洞，用户如何面对？

柔光的暖阳◎ 2022-03-07 12:06 259阅读 0赞

runC是一个根据OCI（Open Container Initiative）标准创建并运行容器的CLI工具，目前Docker引擎内部也是基于runc构建的。 2019年2月11日，研究人员通过oss-security邮件列表（[https://www.openwall.com/list...][https_www.openwall.com_list...] ）披露了runc容器逃逸漏洞的详情，根据OpenWall的规定EXP会在7天后也就是2019年2月18日公开。

此漏洞允许以root身份运行的容器以特权用户身份在主机上执行任意代码。实际上，这意味着容器可能会破坏Docker主机（覆盖Runc CLI），而所需要的只是能够使用root来运行容器。攻击者可以使用受感染的Docker镜像或对未受感染的正在运行的容器运行exec命令。针对此问题的已知缓解措施包括：

*  使用只读主机文件系统运行
 *  运行用户命名空间
 *  不在容器中运行root
 *  正确配置的AppArmor / SELinux策略（当前的默认策略不够）

**Rancher团队第一时间响应**

收到披露邮件后，RancherOS团队立刻尝试编写了攻击脚本，在一个普通容器中运行一个非常简单的脚本就完成了对主机的攻击，将主机上的runc替换成了其他程序。

漏洞披露后，Docker在第一时间发布了18.09.2，用户可升级到此版本以修复该漏洞。Rancher Labs研发团队同样第一时间响应，发布了Rancher v2.1.6、v2.0.11和v1.6.26，这三个新版本Rancher支持Docker刚刚发布的18.09.2，Rancher用户可以升级Docker版本以防止被该安全漏洞影响。

**无法升级Docker版本怎么办**

通常由于各种因素，很多用户的生产环境并不容易升级太新的Docker版本。

为了帮助无法按照Docker官方建议升级至最新版Docker 18.09.2的用户解决此次问题，Rancher Labs团队更进一步，已经将修复程序反向移植到所有版本的Docker，为Docker 1.12.6、1.13.1、17.03.2、17.06.2、17.09.1、18.03.1和18.06.1提供补丁，修复这次漏洞！相关修补程序以及安装说明，请参考：

[https://github.com/rancher/ru...][https_github.com_rancher_ru...]。

**RancherOS的更新：v1.5.1 和 v1.4.3**

RancherOS作为一款容器化操作系统，其中很多组件依赖runc，我们也在第一时间更新了补丁并发布了v1.5.1和v1.4.3两个版本。

RancherOS的核心部件system-docker和user-docker都依赖runc，所以v1.5.1和v1.4.3都对他们进行了更新。而针对user-docker，RancherOS可以切换各种版本的docker engine， 所以我们对以下docker engine都进行了反向移植：

v1.12.6/v1.13.1/v17.03.2/v17.06.2/v17.09.1/v17.12.1/v18.03.1/v18.06.1。

如果是默认安装v1.5.1或v1.4.3，补丁程序已经是内置的，你无需任何操作就可以避免该漏洞。如果你希望使用早期的docker版本，那么切换user-docker时，请使用上面提到的补丁修复版本：

![3757826389-5c63f673c91fc_articlex][]

同时v1.5.1版本也是支持docker 18.09.2，你可以切换到该版本，如果你考虑使用Docker官方的修复版本，只需简单运行: ros engine switch docker-18.09.2。

我们推荐您使用最新的RancherOS v1.5.1版本，该除了修复CVE-2019-5736漏洞外还支持其他新特性以及一些Bug Fix。当然，因为仍然有很多用户在使用1.4.x版本，所以我们也发布了v1.4.3， 它只修复了runc漏洞，没有其他额外的更新。

AWS相关镜像已经上传到各个region中，可以直接搜索查找并使用，包括AWS中国区。其他主要镜像列表参考：

[https://github.com/rancher/os...][https_github.com_rancher_os...]

更多新特性和Bug Fix请参考v1.5.1的Release Notes：

[https://github.com/rancher/os...][https_github.com_rancher_os... 1]

文档说明：

[https://rancher.com/docs/os/v...][https_rancher.com_docs_os_v...]

RancherOS专注于Docker在Linux上的精简体验，它还是一个小众的开源项目，欢迎您下载使用并给RancherOS团队提供更多反馈。 同时，Github上的Star也是鼓励我们继续前行的精神动力喔~

**初心不忘，为用户的Docker & K8S之旅护航**

Rancher Kubernetes平台拥有着超过一亿次下载量，我们深知安全问题对于用户而言的重要性，更遑论那些通过Rancher平台在生产环境中运行Docker及Kubernetes的数千万用户。

2018年年底Kubernetes被爆出的首个严重安全漏洞CVE-2018-1002105，就是由Rancher Labs联合创始人及首席架构师Darren Shepherd发现的。

2019年1月Kubernetes被爆出仪表盘和外部IP代理安全漏洞时，Rancher Labs也是第一时间向用户响应，确保所有Rancher 2.x和1.6.x的用户都完全不被漏洞影响。

未来，Rancher也将一如既往陪伴与支持在用户的K8S之路左右❤️

[https_www.openwall.com_list...]: https://www.openwall.com/lists/oss-security/2019/02/11/2
[https_github.com_rancher_ru...]: https://github.com/rancher/runc-cve
[3757826389-5c63f673c91fc_articlex]: /images/20220307/281cee78c8dc42849540a6faa7348c92.png
[https_github.com_rancher_os...]: https://github.com/rancher/os/blob/v1.5.x/README.md#release
[https_github.com_rancher_os... 1]: https://github.com/rancher/os/releases/tag/v1.5.1
[https_rancher.com_docs_os_v...]: https://rancher.com/docs/os/v1.x/en/