La vulnérabilité de sécurité critique CVE-2019-5736, de type élévation de privilèges, découverte par Adam Iwaniuk et Borys Popławski, permet à un conteneur malicieux de remplacer l’environnement d’exécution de conteneurs runc, et donc d’obtenir l’accès le plus privilégié pour exécuter du code arbitraire sur l’ordinateur hôte.

runc est l’utilitaire de ligne de commande qui permet d’instancier et d’exécuter des conteneurs au standard Open Container Initiative, comme Docker, containerd, Podman ou CRI-O.

Une version corrigée a déjà été publiée sur GitHub par Aleksa Sarai. Toutefois, tous les projets construits sur runc doivent être mis à jour. Une variante de la vulnérabilité affecte également LXC, un outil développé avant Docker, et doit également être corrigée.

La dernière version de Docker, 18.0.9.2, est corrigée. La plupart des distributions Linux, comme RedHat, Debian et Ubuntu, travaillent sur des correctifs. AWS et Google ont publié des bulletins de sécurité recommandant à leurs clients de mettre à jour leurs conteneurs.