博云容器云平台针对RunC漏洞CVE-2019-5736的说明

漏洞说明

1.1 漏洞说明

runC 是 Docker，Kubernetes 等依赖容器的应用程序的底层容器运行时。此次爆出的安全漏洞（CVE-2019-5736）可以使攻击者以 root 身份在主机上执行任何命令。该漏洞评级为7.2分，满分10分。

漏洞说明链接：

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5736（可点击阅读原文进行访问）

1.2 漏洞攻方式

攻击者可以通过特定的容器镜像或者exec操作获取到宿主机runc执行时的文件句柄并修改掉runc的二进制文件，从而获取到宿主机的root执行权限。受影响的容器镜像主要有两种：

（1）包括恶意程序的镜像

（2）容器启动时包括了host root权限（博云容器云BeyondContainer平台默认禁用host root权限）的镜像

1.3 受影响版本范围

博云容器云平台BeyondContainer默认容器运行时为Docker，具体受影响的Docker版本为18.09.2以下版本的Docker版本。

该漏洞应对处理方式

BoCloud运维服务中心在得知此安全漏洞后，已制定详细的处理措施，建议用户采取以下措施以避免系统风险：

（1）升级Docker到18.09.2或以上版本；

（2）启动Docker容器时启用Selinux，同时容器内用户UID != 0 ；

（3）加强容器安全管理，仔细控制特权容器的使用（博云容器云平台BeyondContainer默认容器为非特权模式）；

（4）加强镜像安全管控。

或与博云运维服务中心联系咨询

后续版本说明

博云即将发布的容器云平台BeyondContainer V2.0产品采用的Docker版本为18.09.2，将包括此漏洞的修复，同时该版本及后续版本中有更多的安全性考虑。

BoCloud博云的容器云平台BeyondContainer能够在众多客户生产环境中支持客户业务运行，正是因为我们极其重视客户业务系统的安全、稳定与高性能之间的平衡。我们将毫不松懈地为客户提供优质的服务，不负客户的信任和支持，保障客户IT系统的高效运行。