新闻
News Today
Docker和Kubernetes中使用的runC容器运行时被披露存在三个新漏洞,攻击者可利用这些漏洞绕过隔离限制,获取主机系统访问权限。
这三个安全问题的漏洞编号分别为CVE-2025-31133、CVE-2025-52565和CVE-2025-52881(均为高危级别),由SUSE软件工程师于本周披露。
runC是一款通用容器运行时,同时也是开放容器倡议(OCI)的容器运行参考实现。它负责执行创建容器进程、配置命名空间、挂载点和控制组等底层操作,供Docker、Kubernetes等上层工具调用。
攻击者利用这些漏洞可获取容器底层主机的写入权限,并获得root权限,具体漏洞细节如下:
·CVE-2025-31133:runC通过绑定挂载/dev/null来“屏蔽”主机敏感文件。若攻击者在容器初始化阶段将/dev/null替换为符号链接,runC可能会将攻击者控制的目标以可读写模式绑定挂载到容器中,进而允许攻击者写入/proc目录,实现容器逃逸。
·CVE-2025-52565:/dev/console的绑定挂载可通过竞争条件或符号链接被重定向,导致runC在防护机制生效前,将非预期目标挂载到容器内。这同样会使proc文件系统的关键条目暴露可写入权限,为容器逃逸创造条件。
·CVE-2025-52881:攻击者可诱使runC向/proc目录执行写入操作,且该操作会被重定向至攻击者控制的目标。在部分版本中,该漏洞可绕过Linux安全模块(LSM)的重新标记防护,将runC的常规写入操作转化为对/proc/sysrq-trigger等危险文件的任意写入。
其中,CVE-2025-31133和CVE-2025-52881影响所有版本的runC,CVE-2025-52565则影响1.0.0-rc3及后续版本的runC。目前,runC 1.2.8、1.3.3、1.4.0-rc.3及更高版本已提供修复补丁。
漏洞可利用性与风险
安全研究人员指出,利用这三个漏洞“需要具备以自定义挂载配置启动容器的能力”,攻击者可通过恶意容器镜像或Dockerfile实现这一条件。
截至目前,尚无这些漏洞被在真实环境中主动利用的相关报告,但可通过监测可疑的符号链接行为,检测是否存在利用这三个安全漏洞的尝试。
runC开发者已公布缓解措施,包括为所有容器启用用户命名空间,且不将主机root用户映射到容器命名空间中。
这一预防措施可阻断攻击的关键环节,因为Unix自主访问控制(DAC)权限会阻止命名空间内的用户访问相关文件。
Sysdig还建议,若条件允许,应使用无root权限容器,以降低漏洞被利用后可能造成的损害。
本公众号发布的文章均转载自互联网或经作者投稿授权的原创,文末已注明出处,其内容和图片版权归原网站或作者本人所有,并不代表安世加的观点,若有无意侵权或转载不当之处请联系我们处理!
