Cloud Native Computing Foundation
·
runc容器突破漏洞:技术概述
内容提要
2025年11月,runc发现三项高危漏洞,允许容器完全突破,影响广泛。漏洞涉及绕过/proc文件的写入限制,攻击者可利用恶意Dockerfile逃逸容器。建议用户尽快更新runc版本,并采取安全措施,如使用用户命名空间和非root用户。
关键要点
-
2025年11月,runc发现三项高危漏洞,允许容器完全突破。
-
runc是Linux容器化的基石,广泛应用于Docker、Podman和Kubernetes等工具。
-
漏洞涉及绕过runc对/proc文件的写入限制,攻击者可利用恶意Dockerfile逃逸容器。
-
三项漏洞分别为CVE-2025-31133、CVE-2025-52565和CVE-2025-52881,CVSS评分均为7.3。
-
这些漏洞可能在多租户环境中被利用,攻击者可通过恶意构建的Dockerfile触发漏洞。
-
在Kubernetes环境中,漏洞影响更大,成功利用可导致攻击者控制整个集群。
-
建议用户尽快更新runc至v1.4.0-rc.3、v1.3.3或v1.2.8版本。
-
除了升级runc,用户还应使用用户命名空间和非root用户等安全措施。
-
使用AppArmor和SELinux可以帮助减轻一些攻击向量。
-
强调了容器运行时需要默认安全配置的重要性,OpenSSF和OCI正在推动标准化工作。
-
其他容器运行时如youki和crun也存在类似漏洞,用户应关注安全更新。
延伸问答
runc漏洞的影响是什么?
runc漏洞允许攻击者完全突破容器,可能导致对主机的控制,尤其在多租户环境中风险更大。
runc的最新安全版本是什么?
建议用户更新到runc v1.4.0-rc.3、v1.3.3或v1.2.8版本。
如何减轻runc漏洞带来的风险?
用户应使用用户命名空间、非root用户,并考虑使用AppArmor和SELinux等安全措施。
runc漏洞的具体编号是什么?
漏洞编号包括CVE-2025-31133、CVE-2025-52565和CVE-2025-52881。
runc漏洞是如何被利用的?
攻击者可以通过恶意Dockerfile中的自定义挂载配置来触发漏洞,从而逃逸容器。
这些漏洞对Kubernetes环境的影响有多大?
在Kubernetes环境中,漏洞的影响更大,成功利用可导致攻击者控制整个集群。
