JPCERT コーディネーションセンター(JPCERT/CC)は2月14日、 コンテナランタイム「runc」の脆弱性 (CVE-2019-5736)が公開されたとして、注意を呼び掛けた。

この脆弱性を悪用して細工したコンテナをユーザーが実行した場合、ホスト上のruncバイナリが意図せず上書きされ、結果として、コンテナが起動しているホスト上でroot権限でコマンドが実行される恐れがある。

脆弱性を抱えているバージョンはrunc 1.0-rc6 およびそれ以前。

この脆弱性を受けるアプリケーションのバージョンは、以下の通り。

  • Ubuntu : runc 1.0.0~rc4+dfsg1-6ubuntu0.18.10.1 より前のバージョン
  • Debian : runc 0.1.1+dfsg1-2 より前のバージョン
  • RedHat Enterprise Linux : docker 1.13.1-91.git07f3374.el7 より前のバージョン
  • Amazon Linux : docker 18.06.1ce-7.25.amzn1.x86_64 より前のバージョン
  • Docker : docker 18.09.2 より前のバージョン

上記のアプリケーションについては、次のように脆弱性を修正したバージョンがリリースされているので、更新することが推奨される。

  • Ubuntu : runc 1.0.0~rc4+dfsg1-6ubuntu0.18.10.1
  • Debian : runc 0.1.1+dfsg1-2
  • RedHat Enterprise Linux : docker 1.13.1-91.git07f3374.el7
  • Amazon Linux : docker 18.06.1ce-7.25.amzn1.x86_64
  • Docker : docker 18.09.2

コンテナオーケストレーションシステム「Kubernetes」もruncを利用しているため、公式ブログで対策を説明している。