容器运行时runC被爆安全漏洞，波及诸多容器平台，能拿最高权限

最初由Docker所开发，之后由OCI负责维护的容器运行时runC，被爆含有危险的安全漏洞，恶意容器可通过该漏洞覆盖runC的二进制文件，而可于容器主机上执行任意命令，让诸多云提供商忙于修补。

runC为一标准化的容器运行时（ Container Runtime），因此成为不少容器平台的预设运行时，从Docker、 containerd、Podman到CRI-O，或是其它基于runC的容器运行时，这个编号为CVE-2019-5736的runC漏洞不仅影响上述容器，也波及了采用容器的企业或各项云服务，如红帽、Google及AWS等。

负责维护runC的Aleksa Sarai解释，该漏洞允许恶意的容器在最少的用户互动下覆盖主机上runC的二进化文件，并取得主机端的最高权限而得以执行命令，如以黑客掌控的镜像建立一个新的容器，或者是把代码嵌入一个黑客原本就能存取的既有容器。

此外，这个漏洞并未被设定的AppArmor或SELinux策略封锁，除非黑客正确使用了使用者命名空间时才会被阻止。

在公布漏洞之后，OCI也已完成修补。Sarai说，不少提供商都希望能借助攻击程序来验证修补的完整性，使得他决定打造一个通用的攻击程序测试，预计于2月18日发布。