runC容器執行環境爆三大漏洞，駭客可逃脫Docker容器並存取主機系統

資安研究人員近期揭露 runC 容器執行環境(Container Runtime)存在三個重大安全漏洞，攻擊者可藉此繞過隔離限制，取得底層主機系統的存取權限。

runC 是 Docker 與 Kubernetes 等容器平台的核心元件，負責處理容器程序建立、命名空間(Namespace)設定、掛載(Mount)及控制群組(cgroup)等底層操作。

這三個漏洞編號分別為 CVE-2025-31133、CVE-2025-52565 與 CVE-2025-52881，由 SUSE 軟體工程師暨開放容器倡議(Open Container Initiative, OCI)董事會成員 Aleksa Sarai 發現並揭露。攻擊者一旦成功利用這些漏洞，即可以 root 權限對底層容器主機取得寫入存取權限。

三大漏洞技術細節

CVE-2025-31133 源於 runC 使用 /dev/null 綁定掛載來遮蔽敏感的主機檔案。若攻擊者在容器初始化期間將 /dev/null 替換為符號連結(Symlink)，runC 可能會將攻擊者控制的目標以讀寫模式綁定掛載至容器內，使攻擊者得以寫入 /proc 目錄並逃脫容器。

CVE-2025-52565 涉及 /dev/console 綁定掛載的安全問題。攻擊者可透過競爭條件(Race Condition)或符號連結攻擊，讓 runC 在套用保護機制之前將非預期的目標掛載至容器內，進而暴露關鍵 procfs 項目的寫入權限，突破容器限制。

CVE-2025-52881 允許攻擊者誘使 runC 對 /proc 目錄執行寫入操作，並將這些寫入重新導向至攻擊者控制的目標。此漏洞可繞過 Linux 安全模組(LSM)的重新標記保護，將一般的 runC 寫入操作轉變為對 /proc/sysrq-trigger 等危險檔案的任意寫入。

CVE-2025-31133 與 CVE-2025-52881 影響所有 runC 版本，CVE-2025-52565 則影響 runC 1.0.0-rc3 及後續版本。開發團隊已在 runC 1.2.8、1.3.3、1.4.0-rc.3 及更新版本中提供修補程式。

攻擊條件與防護建議

雲端資安業者 Sysdig 指出，攻擊者需具備以自訂掛載設定啟動容器的能力，才能利用這些漏洞，這可透過惡意容器映像檔(Container Image)或 Dockerfile 達成。目前尚未傳出任何漏洞遭實際利用的案例。

runC 開發團隊提出的緩解措施包括：為所有容器啟用使用者命名空間(User Namespace)，且不要將主機 root 使用者對應至容器的命名空間中。此預防措施透過 Unix DAC 權限機制，能阻止命名空間使用者存取相關檔案，有效阻擋攻擊的關鍵環節。

此外，Sysdig 建議在可行情況下使用無根容器(Rootless Container)，以降低漏洞被利用後可能造成的損害。

本文轉載自 BleepingComputer。