RunC容器逃逸漏洞席捲業界，網易雲如何做到實力修復？

近日，業界爆出的runC容器越權逃逸漏洞CVE-2019-5736，席捲了整個基於runC的容器雲領域，大量雲端計算廠商和採用容器雲的企業受到影響。網易雲方面透露，經過技術團隊的緊急應對，網易雲上的容器服務已經被成功修復，網易雲公有云客戶在無感知、且不需要增加運維成本的情況下升級到安全的容器雲環境，沒有任何客戶受到該漏洞的影響。

RunC由Docker公司開發，後來成為開放容器標準（OCI）被廣泛使用，而容器則成為了標準的雲原生基礎架構，不僅是各家雲服務商的標配產品，也是企業賴以開展創新業務實現數字化轉型的核心工具。此次曝出的runC嚴重漏洞，使攻擊者能夠以root身份在宿主機上執行任何命令，這給所有基於容器的創新業務帶來了意外的風險，引起了雲服務商和企業的一致重視。

CVE安全漏洞資訊網站（ https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5736 ）顯示，Kubernetes、Docker、containerd或者其他基於runC的容器技術在執行時層存在安全漏洞，攻擊者可以通過特定的惡意容器映象或者exec操作，獲取到宿主機runC執行時的檔案控制代碼並修改掉runC的二進位制檔案，從而獲取到宿主機的root執行許可權。18.09.2以下的Docker版本或者1.0-rc6以下的runC版本均受到影響。

漏洞被披露後，紅帽的容器技術產品經理Scott McCarty警告稱，“利用此漏洞，惡意程式碼可能會肆意蔓延，不僅影響單個容器，還會影響整個容器主機，最終會破壞主機上執行的成百上千個容器。”可能會造成企業IT的世界末日。

網易雲也基於OCI規範的技術提供Serverless公有云容器服務，因而也被該漏洞波及。漏洞被曝出後，runC的維護者、SUSE高階軟體工程師Aleksa Saraipush已經在Github提交程式碼修復了這個漏洞： https://github.com/opencontainers/runc/commit/0a8e4117e7f715d5fbeef398405813ce8e88558b 。

網易雲技術團隊則迅速完成分析和POC測試，並以最高優先順序處理該漏洞，緊急上線了漏洞修復方案，最終完全消除了該漏洞可能產生的影響，確保了公有云服務的安全性。

McCarty 表示，這不是第一個主要的容器執行時安全漏洞，也不會是最後一個。網易雲工程師認為，容器和微服務在數字經濟中的魅力已經彰顯，企業不能因噎廢食，放棄技術改造，但也需要及時升級，針對安全漏洞打好補丁，或者選擇實力強勁、服務專業的雲端計算技術服務商，為自己的數字化轉型任務打造安全可信的技術平臺。

網易雲旗下的輕舟微服務是圍繞應用和微服務打造的一站式 PaaS 平臺，幫助使用者快速實現易接入、易運維的微服務解決方案，點選檢視詳情。