JPCERT コーディネーションセンター(JPCERT/CC)は2月14日、 コンテナランタイム「runc」の脆弱性 (CVE-2019-5736)が公開されたとして、注意を呼び掛けた。
この脆弱性を悪用して細工したコンテナをユーザーが実行した場合、ホスト上のruncバイナリが意図せず上書きされ、結果として、コンテナが起動しているホスト上でroot権限でコマンドが実行される恐れがある。
脆弱性を抱えているバージョンはrunc 1.0-rc6 およびそれ以前。
この脆弱性を受けるアプリケーションのバージョンは、以下の通り。
- Ubuntu : runc 1.0.0~rc4+dfsg1-6ubuntu0.18.10.1 より前のバージョン
- Debian : runc 0.1.1+dfsg1-2 より前のバージョン
- RedHat Enterprise Linux : docker 1.13.1-91.git07f3374.el7 より前のバージョン
- Amazon Linux : docker 18.06.1ce-7.25.amzn1.x86_64 より前のバージョン
- Docker : docker 18.09.2 より前のバージョン
上記のアプリケーションについては、次のように脆弱性を修正したバージョンがリリースされているので、更新することが推奨される。
- Ubuntu : runc 1.0.0~rc4+dfsg1-6ubuntu0.18.10.1
- Debian : runc 0.1.1+dfsg1-2
- RedHat Enterprise Linux : docker 1.13.1-91.git07f3374.el7
- Amazon Linux : docker 18.06.1ce-7.25.amzn1.x86_64
- Docker : docker 18.09.2
コンテナオーケストレーションシステム「Kubernetes」もruncを利用しているため、公式ブログで対策を説明している。
