三項(xiàng)嚴(yán)重漏洞允許攻擊者突破 Docker、Kubernetes 容器隔離

發(fā)布時(shí)間 2025-11-20

       近日,研究人員披露了容器運(yùn)行時(shí)環(huán)境 runC 中存在的三項(xiàng)嚴(yán)重安全漏洞。runC 是 Docker、Kubernetes 以及多種容器平臺(tái)所依賴的底層運(yùn)行組件。攻擊者可利用這些漏洞突破容器隔離機(jī)制,從受限環(huán)境中逃逸并最終獲取宿主機(jī)的 root 權(quán)限。

 image.png

       runC 是基于 Open Container Initiative(OCI) 規(guī)范開發(fā)的命令行工具,用于生成和運(yùn)行容器實(shí)例。由于漏洞影響范圍廣泛,安全專家建議所有運(yùn)行相關(guān)容器環(huán)境的系統(tǒng)管理員立即升級(jí)至最新版本,以降低潛在風(fēng)險(xiǎn)。SUSE Linux 高級(jí)軟件工程師 Aleksa Sarai 指出,為修復(fù)這些問題共發(fā)布了二十余個(gè)補(bǔ)丁,改動(dòng)“相當(dāng)大且深入”。與此同時(shí),亞馬遜云服務(wù)(AWS)也發(fā)布公告,盡管未發(fā)現(xiàn)跨客戶風(fēng)險(xiǎn),但仍建議用戶及時(shí)更新 runC 至安全版本。

       目前尚未發(fā)現(xiàn)漏洞被實(shí)際利用的案例,但研究人員警告,這些缺陷使攻擊者有可能欺騙 runC,從而繞過容器隔離邊界并訪問宿主機(jī)的敏感資源。

       首個(gè)漏洞編號(hào)為 CVE-2025-31133,問題出在 runC 對(duì)“掩蔽路徑”(masked paths)的處理邏輯上。當(dāng)攻擊者篡改容器內(nèi)的 /dev/null 文件時(shí),程序未能進(jìn)行充分驗(yàn)證,導(dǎo)致惡意者可以將該文件替換為指向宿主機(jī)敏感文件的符號(hào)鏈接。runC 在執(zhí)行時(shí)可能誤將宿主系統(tǒng)文件暴露或允許寫入。例如,攻擊者能夠?qū)懭?nbsp;/proc/sys/kernel/core_pattern 等關(guān)鍵內(nèi)核文件,從而實(shí)現(xiàn)容器逃逸。

        第二個(gè)漏洞 CVE-2025-52565 則出現(xiàn)在容器初始化階段。攻擊者可借此獲得對(duì)受保護(hù)的進(jìn)程文件系統(tǒng)(procfs)文件的寫入權(quán)限,進(jìn)一步修改宿主系統(tǒng)行為。最后一個(gè)漏洞 CVE-2025-52881 則允許攻擊者在容器內(nèi)部誘使 runC 將數(shù)據(jù)錯(cuò)誤地寫入宿主機(jī)的敏感 /proc 目錄文件,從而引發(fā)權(quán)限提升或系統(tǒng)配置被篡改的風(fēng)險(xiǎn)。

        安全公司 Sysdig 建議用戶盡快將 runC 更新至 1.2.8、1.3.3 或 1.4.0-rc.3 及以上版本,并及時(shí)應(yīng)用各云服務(wù)商發(fā)布的安全補(bǔ)丁。Sysdig 同時(shí)指出,啟用用戶命名空間(User Namespace)可有效阻止最危險(xiǎn)的攻擊路徑,因?yàn)閱⒂迷摍C(jī)制后,容器內(nèi)的進(jìn)程無法直接訪問宿主機(jī)的 procfs 文件。研究人員還建議盡可能采用 Rootless 模式運(yùn)行容器,以降低漏洞被利用后的潛在破壞范圍。

       盡管尚無公開的攻擊事件,但 runC 作為容器化基礎(chǔ)設(shè)施的核心組件,一旦被攻破將導(dǎo)致宿主系統(tǒng)完全失陷。專家提醒,企業(yè)應(yīng)將及時(shí)修補(bǔ)漏洞、強(qiáng)化權(quán)限隔離和持續(xù)監(jiān)控運(yùn)行環(huán)境作為維護(hù)容器安全的首要任務(wù)。