runC内涵安全问题可能波及到众多容器平台

最初由Docker所开发，继之交由开放容器倡议（Open Container Initiative，OCI）负责维护的容器执行组件runC，遭爆含有危险的安全漏洞，恶意容器可透过该漏洞覆盖runC的二进制文件，而可于容器主机上执行任意命令，让各家业者忙于修补。runC为一标准化的容器执行组件（ Container Runtime），所以成为很多容器平台的默认执行组件，从Docker、 containerd、Podman到CRI-O，或是其它基于runC的容器执行组件，此一编号为CVE-2019-5736的runC漏洞不只影响上述容器，也波及了采用容器的企业或各项云端服务，例如红帽、Google及AWS也都当即展开了修补。

负责维护runC的Aleksa Sarai解释，该漏洞容许恶意的容器在最少的用户互动下覆盖主机上runC的二进化文件，并取得主机端的最高权限而得以执行命令，例如以黑客掌控的映像档创建一个新的容器，或者是把程序代码嵌入一个黑客本来就能存取的既有容器。此外，这个漏洞并未被预设的AppArmor或SELinux政策封锁，除非黑客正确使用了使用者命名空间时才会被阻止。在公布此一漏洞的当下，OCI也已完成修补。Sarai说，很多业者都但愿能藉由攻击程序来验证修补的完整性，使得他决定打造一个通用的攻击程序供业者测试，预计于2月18日释出。