【安全圈】三項嚴重漏洞允許攻擊者突破 Docker、Kubernetes 容器隔離

關鍵詞

安全漏洞

近日，研究人員披露了容器運行時環境runC中存在的三項嚴重安全漏洞。runC 是 Docker、Kubernetes 以及多種容器平臺所依賴的底層運行組件。攻擊者可利用這些漏洞突破容器隔離機制，從受限環境中逃逸并最終獲取宿主機的 root 權限。

runC 是基于Open Container Initiative（OCI）規范開發的命令行工具，用于生成和運行容器實例。由于漏洞影響范圍廣泛，安全專家建議所有運行相關容器環境的系統管理員立即升級至最新版本，以降低潛在風險。SUSE Linux 高級軟件工程師 Aleksa Sarai 指出，為修復這些問題共發布了二十余個補丁，改動“相當大且深入”。與此同時，亞馬遜云服務（AWS）也發布公告，盡管未發現跨客戶風險，但仍建議用戶及時更新 runC 至安全版本。

目前尚未發現漏洞被實際利用的案例，但研究人員警告，這些缺陷使攻擊者有可能欺騙 runC，從而繞過容器隔離邊界并訪問宿主機的敏感資源。

首個漏洞編號為CVE-2025-31133，問題出在 runC 對“掩蔽路徑”（masked paths）的處理邏輯上。當攻擊者篡改容器內的/dev/null文件時，程序未能進行充分驗證，導致惡意者可以將該文件替換為指向宿主機敏感文件的符號鏈接。runC 在執行時可能誤將宿主系統文件暴露或允許寫入。例如，攻擊者能夠寫入/proc/sys/kernel/core_pattern等關鍵內核文件，從而實現容器逃逸。

第二個漏洞CVE-2025-52565則出現在容器初始化階段。攻擊者可借此獲得對受保護的進程文件系統（procfs）文件的寫入權限，進一步修改宿主系統行為。最后一個漏洞CVE-2025-52881則允許攻擊者在容器內部誘使 runC 將數據錯誤地寫入宿主機的敏感/proc目錄文件，從而引發權限提升或系統配置被篡改的風險。

安全公司 Sysdig 建議用戶盡快將 runC 更新至1.2.8、1.3.3 或 1.4.0-rc.3及以上版本，并及時應用各云服務商發布的安全補丁。Sysdig 同時指出，啟用用戶命名空間（User Namespace）可有效阻止最危險的攻擊路徑，因為啟用該機制后，容器內的進程無法直接訪問宿主機的 procfs 文件。研究人員還建議盡可能采用 Rootless 模式運行容器，以降低漏洞被利用后的潛在破壞范圍。

盡管尚無公開的攻擊事件，但 runC 作為容器化基礎設施的核心組件，一旦被攻破將導致宿主系統完全失陷。專家提醒，企業應將及時修補漏洞、強化權限隔離和持續監控運行環境作為維護容器安全的首要任務。

安全圈

網羅圈內熱點 專注網絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！