runc关键漏洞威胁Docker和Kubernetes容器隔离安全
💡
原文中文,约1400字,阅读约需4分钟。
📝
内容提要
Docker 和 Kubernetes 使用的 runc 运行时发现三个关键漏洞,攻击者可利用这些漏洞突破容器隔离,获取宿主机的 root 权限。Sysdig 团队已分析漏洞并提供缓解建议,受影响版本需立即升级,建议启用用户命名空间和使用无根容器以降低风险。
🎯
关键要点
- Docker 和 Kubernetes 使用的 runc 运行时发现三个关键漏洞,攻击者可利用这些漏洞突破容器隔离,获取宿主机的 root 权限。
- 漏洞通过竞争挂载条件和 procfs 写入重定向机制突破容器边界,攻击者需具备使用自定义挂载配置启动容器的能力。
- Sysdig 团队已分析漏洞并提供缓解建议,建议启用用户命名空间和使用无根容器以降低风险。
- CVE-2025-31133 漏洞导致容器隔离失效,攻击者可通过替换 /dev/null 为符号链接实现容器逃逸。
- CVE-2025-52565 漏洞允许攻击者重定向挂载点获取受保护 procfs 文件的写入权限。
- CVE-2025-52881 漏洞使攻击者能通过共享挂载的竞争条件绕过 Linux 安全模块保护。
- 所有漏洞已在 runc 1.2.8、1.3.3 和 1.4.0-rc.3+ 版本中修复,企业应立即升级至修复版本。
- AWS、ECS、EKS 等云服务商已于 2025 年 11 月 5 日发布安全更新。
❓
延伸问答
runc 漏洞对 Docker 和 Kubernetes 的影响是什么?
runc 漏洞允许攻击者突破容器隔离,获取宿主机的 root 权限,可能导致容器逃逸。
有哪些关键漏洞被发现?
发现了三个关键漏洞:CVE-2025-31133、CVE-2025-52565 和 CVE-2025-52881。
如何缓解 runc 漏洞带来的风险?
建议启用用户命名空间和使用无根容器,企业应立即升级至修复版本。
runc 漏洞是如何被利用的?
攻击者通过竞争挂载条件和 procfs 写入重定向机制,利用自定义挂载配置启动容器来突破隔离。
受影响的 runc 版本有哪些?
所有已知版本均受影响,特别是 1.0.0-rc3 及后续版本,修复版本为 1.2.8、1.3.3 和 1.4.0-rc.3+。
云服务商如何应对 runc 漏洞?
AWS、ECS、EKS 等云服务商已于 2025 年 11 月 5 日发布安全更新以修复漏洞。
➡️
