【安全圈】三项严重漏洞允许攻击者突破 Docker、Kubernetes 容器隔离

关键词

安全漏洞

近日，研究人员披露了容器运行时环境runC中存在的三项严重安全漏洞。runC 是 Docker、Kubernetes 以及多种容器平台所依赖的底层运行组件。攻击者可利用这些漏洞突破容器隔离机制，从受限环境中逃逸并最终获取宿主机的 root 权限。

runC 是基于Open Container Initiative（OCI）规范开发的命令行工具，用于生成和运行容器实例。由于漏洞影响范围广泛，安全专家建议所有运行相关容器环境的系统管理员立即升级至最新版本，以降低潜在风险。SUSE Linux 高级软件工程师 Aleksa Sarai 指出，为修复这些问题共发布了二十余个补丁，改动“相当大且深入”。与此同时，亚马逊云服务（AWS）也发布公告，尽管未发现跨客户风险，但仍建议用户及时更新 runC 至安全版本。

目前尚未发现漏洞被实际利用的案例，但研究人员警告，这些缺陷使攻击者有可能欺骗 runC，从而绕过容器隔离边界并访问宿主机的敏感资源。

首个漏洞编号为CVE-2025-31133，问题出在 runC 对“掩蔽路径”（masked paths）的处理逻辑上。当攻击者篡改容器内的/dev/null文件时，程序未能进行充分验证，导致恶意者可以将该文件替换为指向宿主机敏感文件的符号链接。runC 在执行时可能误将宿主系统文件暴露或允许写入。例如，攻击者能够写入/proc/sys/kernel/core_pattern等关键内核文件，从而实现容器逃逸。

第二个漏洞CVE-2025-52565则出现在容器初始化阶段。攻击者可借此获得对受保护的进程文件系统（procfs）文件的写入权限，进一步修改宿主系统行为。最后一个漏洞CVE-2025-52881则允许攻击者在容器内部诱使 runC 将数据错误地写入宿主机的敏感/proc目录文件，从而引发权限提升或系统配置被篡改的风险。

安全公司 Sysdig 建议用户尽快将 runC 更新至1.2.8、1.3.3 或 1.4.0-rc.3及以上版本，并及时应用各云服务商发布的安全补丁。Sysdig 同时指出，启用用户命名空间（User Namespace）可有效阻止最危险的攻击路径，因为启用该机制后，容器内的进程无法直接访问宿主机的 procfs 文件。研究人员还建议尽可能采用 Rootless 模式运行容器，以降低漏洞被利用后的潜在破坏范围。

尽管尚无公开的攻击事件，但 runC 作为容器化基础设施的核心组件，一旦被攻破将导致宿主系统完全失陷。专家提醒，企业应将及时修补漏洞、强化权限隔离和持续监控运行环境作为维护容器安全的首要任务。

安全圈

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！