北京
Docker和Kubernetes中使用的runC容器運行時被披露存在三個新漏洞,攻擊者可利用這些漏洞繞過隔離限制,獲取主機系統訪問權限。
這三個安全問題的漏洞編號分別為CVE-2025-31133、CVE-2025-52565和CVE-2025-52881(均為高危級別),由SUSE軟件工程師于本周披露。
runC是一款通用容器運行時,同時也是開放容器倡議(OCI)的容器運行參考實現。它負責執行創建容器進程、配置命名空間、掛載點和控制組等底層操作,供Docker、Kubernetes等上層工具調用。
攻擊者利用這些漏洞可獲取容器底層主機的寫入權限,并獲得root權限,具體漏洞細節如下:
·CVE-2025-31133:runC通過綁定掛載/dev/null來“屏蔽”主機敏感文件。若攻擊者在容器初始化階段將/dev/null替換為符號鏈接,runC可能會將攻擊者控制的目標以可讀寫模式綁定掛載到容器中,進而允許攻擊者寫入/proc目錄,實現容器逃逸。
·CVE-2025-52565:/dev/console的綁定掛載可通過競爭條件或符號鏈接被重定向,導致runC在防護機制生效前,將非預期目標掛載到容器內。這同樣會使proc文件系統的關鍵條目暴露可寫入權限,為容器逃逸創造條件。
·CVE-2025-52881:攻擊者可誘使runC向/proc目錄執行寫入操作,且該操作會被重定向至攻擊者控制的目標。在部分版本中,該漏洞可繞過Linux安全模塊(LSM)的重新標記防護,將runC的常規寫入操作轉化為對/proc/sysrq-trigger等危險文件的任意寫入。
其中,CVE-2025-31133和CVE-2025-52881影響所有版本的runC,CVE-2025-52565則影響1.0.0-rc3及后續版本的runC。目前,runC 1.2.8、1.3.3、1.4.0-rc.3及更高版本已提供修復補丁。
漏洞可利用性與風險
安全研究人員指出,利用這三個漏洞“需要具備以自定義掛載配置啟動容器的能力”,攻擊者可通過惡意容器鏡像或Dockerfile實現這一條件。
截至目前,尚無這些漏洞被在真實環境中主動利用的相關報告,但可通過監測可疑的符號鏈接行為,檢測是否存在利用這三個安全漏洞的嘗試。
runC開發者已公布緩解措施,包括為所有容器啟用用戶命名空間,且不將主機root用戶映射到容器命名空間中。
這一預防措施可阻斷攻擊的關鍵環節,因為Unix自主訪問控制(DAC)權限會阻止命名空間內的用戶訪問相關文件。
Sysdig還建議,若條件允許,應使用無root權限容器,以降低漏洞被利用后可能造成的損害。
參考及來源:https://www.bleepingcomputer.com/news/security/dangerous-runc-flaws-could-allow-hackers-to-escape-docker-containers/
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
