runC內涵安全問題可能波及到衆多容器平臺

最初由Docker所開發，繼之交由開放容器倡議（Open Container Initiative，OCI）負責維護的容器執行組件runC，遭爆含有危險的安全漏洞，惡意容器可透過該漏洞覆蓋runC的二進制文件，而可於容器主機上執行任意命令，讓各家業者忙於修補。runC爲一標準化的容器執行組件（ Container Runtime），所以成爲很多容器平臺的默認執行組件，從Docker、 containerd、Podman到CRI-O，或是其它基於runC的容器執行組件，此一編號爲CVE-2019-5736的runC漏洞不只影響上述容器，也波及了採用容器的企業或各項雲端服務，例如紅帽、Google及AWS也都當即展開了修補。

負責維護runC的Aleksa Sarai解釋，該漏洞容許惡意的容器在最少的用戶互動下覆蓋主機上runC的二進化文件，並取得主機端的最高權限而得以執行命令，例如以黑客掌控的映像檔創建一個新的容器，或者是把程序代碼嵌入一個黑客本來就能存取的既有容器。此外，這個漏洞並未被預設的AppArmor或SELinux政策封鎖，除非黑客正確使用了使用者命名空間時纔會被阻止。在公佈此一漏洞的當下，OCI也已完成修補。Sarai說，很多業者都但願能藉由攻擊程序來驗證修補的完整性，使得他決定打造一個通用的攻擊程序供業者測試，預計於2月18日釋出。