RunC容器逃逸漏洞席卷业界，网易云如何做到实力修复？

近日，业界爆出的runC容器越权逃逸漏洞CVE-2019-5736，席卷了整个基于runC的容器云领域，大量云计算厂商和采用容器云的企业受到影响。网易云方面透露，经过技术团队的紧急应对，网易云上的容器服务已经被成功修复，网易云公有云客户在无感知、且不需要增加运维成本的情况下升级到安全的容器云环境，没有任何客户受到该漏洞的影响。

RunC由Docker公司开发，后来成为开放容器标准（OCI）被广泛使用，而容器则成为了标准的云原生基础架构，不仅是各家云服务商的标配产品，也是企业赖以开展创新业务实现数字化转型的核心工具。此次曝出的runC严重漏洞，使攻击者能够以root身份在宿主机上执行任何命令，这给所有基于容器的创新业务带来了意外的风险，引起了云服务商和企业的一致重视。

CVE安全漏洞信息网站（https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5736）显示，Kubernetes、Docker、containerd或者其他基于runC的容器技术在运行时层存在安全漏洞，攻击者可以通过特定的恶意容器镜像或者exec操作，获取到宿主机runC运行时的文件句柄并修改掉runC的二进制文件，从而获取到宿主机的root执行权限。18.09.2以下的Docker版本或者1.0-rc6以下的runC版本均受到影响。

漏洞被披露后，红帽的容器技术产品经理Scott McCarty警告称，“利用此漏洞，恶意代码可能会肆意蔓延，不仅影响单个容器，还会影响整个容器主机，最终会破坏主机上运行的成百上千个容器。”可能会造成企业IT的世界末日。

网易云也基于OCI规范的技术提供Serverless公有云容器服务，因而也被该漏洞波及。漏洞被曝出后，runC的维护者、SUSE高级软件工程师Aleksa Saraipush已经在Github提交代码修复了这个漏洞：https://github.com/opencontainers/runc/commit/0a8e4117e7f715d5fbeef398405813ce8e88558b。

网易云技术团队则迅速完成分析和POC测试，并以最高优先级处理该漏洞，紧急上线了漏洞修复方案，最终完全消除了该漏洞可能产生的影响，确保了公有云服务的安全性。

McCarty 表示，这不是第一个主要的容器运行时安全漏洞，也不会是最后一个。网易云工程师认为，容器和微服务在数字经济中的魅力已经彰显，企业不能因噎废食，放弃技术改造，但也需要及时升级，针对安全漏洞打好补丁，或者选择实力强劲、服务专业的云计算技术服务商，为自己的数字化转型任务打造安全可信的技术平台。

网易云旗下的轻舟微服务是围绕应用和微服务打造的一站式 PaaS 平台，帮助用户快速实现易接入、易运维的微服务解决方案，点击查看详情。

相关文章：
【推荐】 手游要想反外挂，该如何正确选择可靠的第三方服务？
【推荐】 网易猛犸：数据质量漫谈