- Автор темы
- #1
В инструменте для запуска контейнеров runC, используемом в Docker и Kubernetes, обнаружены сразу три уязвимости. Эти ошибки позволяют злоумышленнику обойти изоляцию и получить доступ к хост-системе с привилегиями root.
Уязвимости получили идентификаторы CVE-2025-31133, CVE-2025-52565 и CVE-2025-52881, и о них сообщил инженер SUSE и член совета Open Container Initiative (OCI) Алекса Сарай (Aleksa Sarai).
RunC представляет собой универсальный контейнерный рантайм и эталонную реализацию OCI, которая отвечает за низкоуровневые операции: создание процессов контейнера, настройку пространств имен, монтирование файловых систем и работу с cgroups. Именно на него опираются такие инструменты, как Docker и Kubernetes.
Исследователи предупреждают, что эксплуатация новых уязвимостей позволяет злоумышленнику записывать данные на хост с правами root.
По словам экспертов компании Sysdig, для эксплуатации всех багов атакующему нужно иметь возможность запускать контейнеры с кастомными настройками монтирования, чего можно добиться через создание вредоносных образов или Dockerfile.
На данный момент сообщений об эксплуатации уязвимостей в реальных атаках не поступало. В рекомендациях специалистов Sysdig отмечается, что попытки использования этих проблем можно отследить по подозрительной работе с символьными ссылками.
Разработчики runC советуют включить user namespace для всех контейнеров, не предоставляя root-хоста контейнеру. Это блокирует ключевые сценарии атак благодаря Unix DAC-защите, которая не позволяет пользователю в namespace получить доступ к критически важным файлам.
Дополнительно эксперты рекомендуют использовать rootless-контейнеры, если это возможно, чтобы минимизировать потенциальный ущерб при эксплуатации уязвимостей.
Уязвимости получили идентификаторы CVE-2025-31133, CVE-2025-52565 и CVE-2025-52881, и о них сообщил инженер SUSE и член совета Open Container Initiative (OCI) Алекса Сарай (Aleksa Sarai).
RunC представляет собой универсальный контейнерный рантайм и эталонную реализацию OCI, которая отвечает за низкоуровневые операции: создание процессов контейнера, настройку пространств имен, монтирование файловых систем и работу с cgroups. Именно на него опираются такие инструменты, как Docker и Kubernetes.
Исследователи предупреждают, что эксплуатация новых уязвимостей позволяет злоумышленнику записывать данные на хост с правами root.
- CVE-2025-31133 — runC использует bind-монтирование /dev/null, чтобы «маскировать» критичные файлы хоста. Если атакующий заменит /dev/null на символьную ссылку при инициализации контейнера, runC может смонтировать управляемый атакующим файл в контейнер с правами на запись, открывая возможности для записи в /proc и побега из контейнера.
- CVE-2025-52565 — bind-монтирование /dev/console может быть перенаправлено с помощью гонок и символьных ссылок, что также позволяет записывать критические данные в procfs и совершать побег из контейнера.
- CVE-2025-52881 — runC можно обмануть, вынудив записывать данные в /proc, которые перенаправляются на контролируемые файлы. В некоторых случаях это позволяет обходить LSM-защиту и превращать обычные записи runC в произвольные записи в опасные файлы вроде /proc/sysrq-trigger.
По словам экспертов компании Sysdig, для эксплуатации всех багов атакующему нужно иметь возможность запускать контейнеры с кастомными настройками монтирования, чего можно добиться через создание вредоносных образов или Dockerfile.
На данный момент сообщений об эксплуатации уязвимостей в реальных атаках не поступало. В рекомендациях специалистов Sysdig отмечается, что попытки использования этих проблем можно отследить по подозрительной работе с символьными ссылками.
Разработчики runC советуют включить user namespace для всех контейнеров, не предоставляя root-хоста контейнеру. Это блокирует ключевые сценарии атак благодаря Unix DAC-защите, которая не позволяет пользователю в namespace получить доступ к критически важным файлам.
Дополнительно эксперты рекомендуют использовать rootless-контейнеры, если это возможно, чтобы минимизировать потенциальный ущерб при эксплуатации уязвимостей.