Runc竞争导容器逃逸漏洞CVE-2025-52565

runc 是由 Docker 主导、遵循 Open Container Initiative（OCI）标准的轻量级容器运行时，核心功能是创建和运行符合 OCI 规范的容器。

一、基本情况

runc 是轻量级通用运行容器，遵守 OCI 规范，是实现 OCI 接口的最低级别组件，与内核交互创建并运行，是 Linux 容器标准化运行基石。

runc 为容器提供了所有的低级功能，与现有的低级 Linux 功能交互，比如命名空间和控制组，而它使用这些功能来创建和运行容器进程。

栋科技漏洞库关注到runc社区披露的漏洞，追踪CVE-2025-31133、CVE-2025-52565和CVE-2025-52881，CVSS4.0评分7.3、8.4、7.3。

二、漏洞分析

CVE-2025-31133

CVE-2025-31133漏洞利用 runc 中 maskedPaths（路径掩码）实现机制的一个缺陷。

攻击者可在特定条件下，将容器内的 /dev/null 替换为一个指向宿主机 /proc 目录下敏感文件的符号链接（symlink）。

这可能导致关键系统文件被意外挂载为可写，从而被攻击者利用实现容器逃逸。

此外，如果攻击者删除 /dev/null，runc 的错误处理逻辑可能导致敏感内核信息泄露。

CVE-2025-52565

CVE-2025-31133漏洞与 CVE-2025-31133 的原理相似。runc 在为容器设置 /dev/console 的 bind-mount 时未充分校验目标路径。

攻击者通过路径操控（Path Traversal）将宿主机上任意文件挂载到容器的 /dev/console，实现对宿主机文件任意写，导致容器逃逸。

CVE-2025-52881

CVE-2025-52881漏洞是runc 在设置 LSM（Linux Security Module，如 AppArmor、SELinux）安全标签时存在逻辑缺陷。

CVE-2025-52881漏洞可能导致为容器配置的安全策略未能正确应用，削弱了容器隔离能力，并可能与其他漏洞组合利用以提升攻击效果。

这些漏洞虽然利用方式不同，但最终均可通过绕过 runc 对 /proc 目录下文件的写入限制，实现完整的容器逃逸。

三、影响范围

社区版本影响范围：

runc v1.2.7 及更早版本

runc v1.3.2 及更早版本

runc v1.4.0-rc.2 及更早版本

四、修复建议

ACK 提供的已修复漏洞的 containerd 版本如下：

2.1.4.1

1.6.39

社区在下列版本中修复该漏洞：

runc v1.2.8

runc v1.3.3

runc v1.4.0-rc.3

五、参考链接

管理员已设置登录后刷新可查看