CVE-2019-5736「runCコンテナブレークアウト」は、コンテナランタイムrunCの脆弱性で、CVSSレーティングが7.2と高く、早急な対応が求められます。 この脆弱性を利用すると、侵入したコンテナはホストのrunCバイナリを上書きし、ルートレベルの実行権限を得ることができます。 Sysdigを使用してこの脆弱性の悪用を軽減する方法には、イメージスキャニング、コンテナの可視性とコンプライアンスの確保、そしてSysdig Falcoを使用した不正利用の検出があります。 イメージスキャニングでは、誤った設定のイメージの防止、脆弱性のスキャン、シークレットの検出が行われます。 コンプライアンスチェックでは、CIS Docker BenchmarkとCIS Kubernetes Benchmarkに基づいてイメージが評価されます。 Sysdig Falcoは、コンテナ内の異常な活動を検出し、特にrunC実行ファイルの上書きを警告することで、CVE-2019-5736の悪用を特定できます。 詳細はこちら