RunC容器逃逸漏洞席捲業界，網易雲如何作到實力修復？

近日，業界爆出的runC容器越權逃逸漏洞CVE-2019-5736，席捲了整個基於runC的容器雲領域，大量雲計算廠商和採用容器雲的企業受到影響。網易雲方面透露，通過技術團隊的緊急應對，網易雲上的容器服務已經被成功修復，網易雲公有云客戶在無感知、且不須要增長運維成本的狀況下升級到安全的容器雲環境，沒有任何客戶受到該漏洞的影響。

RunC由Docker公司開發，後來成爲開放容器標準（OCI）被普遍使用，而容器則成爲了標準的雲原生基礎架構，不只是各家雲服務商的標配產品，也是企業賴以開展創新業務實現數字化轉型的核心工具。這次曝出的runC嚴重漏洞，使攻擊者可以以root身份在宿主機上執行任何命令，這給全部基於容器的創新業務帶來了意外的風險，引發了雲服務商和企業的一致重視。

CVE安全漏洞信息網站（https://cve.mitre.org/cgi-bin...）顯示，Kubernetes、Docker、containerd或者其餘基於runC的容器技術在運行時層存在安全漏洞，攻擊者能夠經過特定的惡意容器鏡像或者exec操做，獲取到宿主機runC運行時的文件句柄並修改掉runC的二進制文件，從而獲取到宿主機的root執行權限。18.09.2如下的Docker版本或者1.0-rc6如下的runC版本均受到影響。

漏洞被披露後，紅帽的容器技術產品經理Scott McCarty警告稱，「利用此漏洞，惡意代碼可能會肆意蔓延，不只影響單個容器，還會影響整個容器主機，最終會破壞主機上運行的成百上千個容器。」可能會形成企業IT的世界末日。

網易雲也基於OCI規範的技術提供Serverless公有云容器服務，於是也被該漏洞波及。漏洞被曝出後，runC的維護者、SUSE高級軟件工程師Aleksa Saraipush已經在Github提交代碼修復了這個漏洞：https://github.com/opencontai...。

網易雲技術團隊則迅速完成分析和POC測試，並以最高優先級處理該漏洞，緊急上線了漏洞修復方案，最終徹底消除了該漏洞可能產生的影響，確保了公有云服務的安全性。

McCarty 表示，這不是第一個主要的容器運行時安全漏洞，也不會是最後一個。網易雲工程師認爲，容器和微服務在數字經濟中的魅力已經彰顯，企業不能因噎廢食，放棄技術改造，但也須要及時升級，針對安全漏洞打好補丁，或者選擇實力強勁、服務專業的雲計算技術服務商，爲本身的數字化轉型任務打造安全可信的技術平臺。

網易雲旗下的輕舟微服務是圍繞應用和微服務打造的一站式 PaaS 平臺，幫助用戶快速實現易接入、易運維的微服務解決方案，點擊查看詳情。

文章來源： 網易雲社區