你的 Docker 容器需加固：底层 runC 漏洞披露，可上演“数字越狱”

东苑

科技媒体 bleepingcomputer 昨日（11 月 9 日）发布博文，报道称容器核心组件 runC 近日披露三项高危漏洞（CVE-2025-31133 等），影响 Docker、Kubernetes 等主流平台。

IT之家注：runC 是一个轻量级的命令行工具，是容器技术的“发动机”。它根据开放容器标准（OCI）来负责创建和运行容器，是 Docker、Kubernetes 等更高级工具的底层基础。

开源容器社区本周披露了 runC 中的三个高危安全漏洞，编号分别为 CVE-2025-31133、CVE-2025-52565 和 CVE-2025-52881。

这些漏洞的出现意味着大量云原生环境面临严峻的安全挑战。一旦漏洞被攻击者利用，攻击者将能突破容器的沙箱限制，直接访问并控制其所在的宿主机系统。

这三个漏洞的核心攻击方式均与 Linux 系统的文件挂载机制有关。攻击者可在容器启动的瞬间，通过竞争条件（Race Condition）或预设的符号链接（symlink），欺骗 runC 将宿主机上的敏感路径（如 / proc 目录下的文件）以可写方式挂载到容器内部。

例如，在 CVE-2025-31133 中，攻击者可将本应屏蔽宿主机文件的 / dev / null 替换为一个指向恶意目标的符号链接，从而获取对宿主机文件的写入权限，最终实现容器逃逸并提权至 root。

根据官方公告，CVE-2025-31133 和 CVE-2025-52881 两个漏洞影响所有版本的 runC，而 CVE-2025-52565 则影响 v1.0.0-rc3 及之后的版本，覆盖范围极广。

为应对此风险，runC 开发团队已紧急发布了修复版本，包括 1.2.8、1.3.3 和 1.4.0-rc.3。所有使用受影响平台的开发者和运维人员应立即检查其环境中的 runC 版本，并尽快升级至最新安全版本，以消除安全隐患。

云安全公司 Sysdig 指出，利用这些漏洞的前提是攻击者需要具备启动自定义挂载配置容器的能力，这通常通过恶意的容器镜像或 Dockerfile 实现。目前尚未有证据表明这些漏洞已被在野利用。

除了立即升级，runC 开发者和 Sysdig 均建议采取额外的防御措施。最有效的缓解方法是为所有容器激活用户命名空间（user namespaces），并避免将宿主机的 root 用户映射到容器内。同时，尽可能采用无根容器（rootless containers）技术，也能显著降低此类漏洞被利用后可能造成的损害。

liqiang2216

看看

com2

谢谢楼主分享！

yzszh64

谢谢分享。

wing6

感谢分享