容器漏洞CVE-2019-5736[POC已发布]

近期影响广泛的高危漏洞CVE-2019-5736，已经出POC了~！

上周，SUSE Linux GmbH的高级软件工程师Aleksa Sarai披露了一个严重漏洞跟踪CVE-2019-5736影响到了runc，而runc正是Docker，containerd，Podman和CRI-O的默认container runtime。

这种漏洞可能对IT环境产生重大影响，其利用可能会逃脱遏制，影响整个容器主机，最终危及其上运行的数百到数千个其他容器。该漏洞可能会影响流行的云平台，包括AWS，Google Cloud和几个Linux发行版。

容器转义的PoC漏洞利用代码已经被发布在GitHub上。

https://github.com/Frichetten/CVE-2019-5736-PoC

“这是CVE-2019-5736的Go实现，是Docker的container escape。该漏洞利用通过从容器内覆盖和执行主机系统runc二进制文件来工作。 “

“攻击者需要在容器内部执行命令并启动可以侦听的恶意二进制文件。当某人（攻击者或受害者）使用docker exec进入容器时，这将触发允许以root身份执行代码的漏洞，“

PoC代码允许恶意容器（以最少的用户交互）覆盖主机runc二进制文件并在主机上获得根级代码执行。

“你将覆盖runc的实现，这将确保你的系统不再能够运行Docker容器。请备份/ usr / bin / docker-runc或/ usr / bin / runc“

专家指出，利用该漏洞有第二种情况，它涉及使用触发漏洞的恶意Docker镜像，而不需要执行容器。

Docker发布了v18.09.2版本来解决这个问题，但据专家介绍，数以千计的在线暴露的Docker守护进程仍然很脆弱，其中大部分都在美国和中国。

Red Hat Enterprise Linux和Red Hat OpenShift的默认配置受到保护，Linux发行版Debian和Ubuntu正在努力解决这个问题。 Google Cloud和AWS都发布了安全建议，建议客户更新受影响服务的容器。

VMware确认其产品受到影响，并发布补丁以通过Kubernetes（VIO-K），VMware PKS（PKS），VMware vCloud Director容器服务扩展（CSE）和vSphere集成容器（VIC）解决VMware Integrated OpenStack中的漏洞）。