runc 发现漏洞 CVE-2019-5736 其他构建于其之上的项目,例如 Docker/Containerd 等均受到了影响,当然包括使用这些项目作为容器运行时的 Kubernetes 等。
对于 Kubernetes 的话,可以选择
* 直接升级容器运行时的相关组件:比如直接升级 runc,或者升级 Docker 至* Docker CE [18.09.2](
github.com) 或者 * Docker CE [18.06.2-ce](github.com) 至于 18.03 由于已经 EOL 了 就不再发布新版了。
或者
* 使用非 root 用户运行容器,可以通过 Pod spec 设置
```yaml
apiVersion: v1
kind: Pod
metadata:
name: run-as-uid-1000
spec:
securityContext:
runAsUser: 1000
```
也可以直接通过 PodSecurityPolicy 设置
```yaml
apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
name: non-root
spec:
privileged: false
allowPrivilegeEscalation: false
runAsUser:
# Require the container to run without root privileges.
rule: 'MustRunAsNonRoot'
```
对于 Kubernetes 的话,可以选择
* 直接升级容器运行时的相关组件:比如直接升级 runc,或者升级 Docker 至* Docker CE [18.09.2](
github.com) 或者 * Docker CE [18.06.2-ce](github.com) 至于 18.03 由于已经 EOL 了 就不再发布新版了。或者
* 使用非 root 用户运行容器,可以通过 Pod spec 设置
```yaml
apiVersion: v1
kind: Pod
metadata:
name: run-as-uid-1000
spec:
securityContext:
runAsUser: 1000
```
也可以直接通过 PodSecurityPolicy 设置
```yaml
apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
name: non-root
spec:
privileged: false
allowPrivilegeEscalation: false
runAsUser:
# Require the container to run without root privileges.
rule: 'MustRunAsNonRoot'
```
展开
评论
2