Consequentemente, um processo malicioso dentro do contêiner pode gravar neste descritor de arquivo, substituir o binário Runc no host e escapar do contêiner.Em particular, a CVE-2019-5736 é uma vulnerabilidade bem conhecida na qual um ponto de entrada de contêineres malicioso poderia substituir o binário Runc no host, obtendo privilégios de raiz.Em vez disso, eles invocam um tempo de execução de nível inferior que implementa a especificação de tempo de execução da interface de contêiner (OCI), a mais comum que é Runc.Os tempos de execução de contêineres são responsáveis por extrair imagens dos registros, gerenciá-las no host e criar processos de linux de nível inferior que são adequadamente segmentados um do outro.Cerca de um mês depois, a equipe do Runc mudou esse comportamento novamente para aproveitar o compartilhamento da página de cache do kernel, montando o binário Runc dentro da leitura do contêiner.
Fonte: https://securitylabs.datadoghq.com/articles/dirty-pipe-container-escape-poc/
