CVE-2019-5736「runCコンテナブレークアウト」は、コンテナランタイムrunCの脆弱性で、CVSSレーティングが7.2と高く、早急な対応が求められます。
この脆弱性を利用すると、侵入したコンテナはホストのrunCバイナリを上書きし、ルートレベルの実行権限を得ることができます。
Sysdigを使用してこの脆弱性の悪用を軽減する方法には、イメージスキャニング、コンテナの可視性とコンプライアンスの確保、そしてSysdig Falcoを使用した不正利用の検出があります。
イメージスキャニングでは、誤った設定のイメージの防止、脆弱性のスキャン、シークレットの検出が行われます。
コンプライアンスチェックでは、CIS Docker BenchmarkとCIS Kubernetes Benchmarkに基づいてイメージが評価されます。
Sysdig Falcoは、コンテナ内の異常な活動を検出し、特にrunC実行ファイルの上書きを警告することで、CVE-2019-5736の悪用を特定できます。
詳細はこちら
Sysdigに関するお問い合わせはこちらから
