游乐游手机版
首页/科技数码/文章详情

Docker 容器安全加固:runC 漏洞可致“数字越狱”

时间:2025-11-28 19:05
11 月 10 日消息,科技媒体 bleepingcomputer 昨日(11 月 9 日)发布博文,报道称容器核心组件 runC 近日披露三项高危漏洞(CVE-2025-31133 等),影响

11月10日据科技媒体bleepingcomputer报道,容器核心组件runC近期披露三个高危漏洞(编号包括CVE-2025-31133等),这些安全缺陷将影响Docker、Kubernetes等主流容器平台。

需要说明的是,runC作为轻量化命令行工具,堪称容器化技术的"发动机"。它遵循开放容器标准(OCI),负责创建和运行容器实例,是Docker与Kubernetes等高级工具的底层运行基础。

开源容器社区本周确认了runC存在的三处高危安全漏洞,其编号分别为CVE-2025-31133、CVE-2025-52565与CVE-2025-52881。

这些漏洞的出现意味着大量云原生环境面临严峻的安全考验。一旦攻击者成功利用漏洞,将能突破容器沙箱限制,直接访问并控制其所在的宿主机系统。

这三个漏洞的核心攻击手法均与Linux系统的文件挂载机制相关。攻击者可在容器启动的瞬间,通过竞争条件(Race Condition)或预设的符号链接(symlink),诱骗runC将宿主机上的敏感路径(如/proc目录下的系统文件)以可写方式挂载到容器内部。

以CVE-2025-31133为例,攻击者可将本应屏蔽宿主机文件的/dev/null替换为指向恶意目标的符号链接,从而获取对宿主机文件的写入权限,最终实现容器逃逸并提权至root。

根据最新安全公告,CVE-2025-31133和CVE-2025-52881影响所有版本的runC,而CVE-2025-52565则影响v1.0.0-rc3及之后的所有版本,覆盖范围极为广泛。

为应对此安全威胁,runC开发团队已紧急发布修复版本,包括1.2.8、1.3.3与1.4.0-rc.3。所有使用受影响平台的开发者和运维人员应立即检查环境中的runC版本,并尽快升级至最新安全版本,以消除安全隐患。

云安全公司Sysdig指出,利用这些漏洞的前提是攻击者需要具备启动自定义挂载配置容器的能力,这通常通过恶意的容器镜像或Dockerfile实现。目前尚未有证据表明这些漏洞已被在野利用。

除立即升级外,runC开发者与Sysdig均建议采取额外的防护措施。最有效的缓解方案是为所有容器激活用户命名空间(user namespaces),并避免将宿主机root用户映射到容器内。同时,尽可能采用无根容器(rootless containers)技术,也能显著降低此类漏洞被利用后可能造成的损害。

来源:https://www.ithome.com/0/896/138.htm
上一篇雷达测速前急刹?这些驾驶技巧才能真正躲罚单 下一篇小米SU7改款将至:12项升级来袭,全系或涨1万
本站内容用于信息整理与展示,如有侵权或内容问题请及时联系处理。

相关推荐

补充同频道和同主题内容,方便继续浏览更多相关内容。

同类最新

继续查看同栏目最近更新的文章。

更多
OpenClaw手机App上线,结果翻车了
科技数码 · 2026-07-01

OpenClaw手机App上线,结果翻车了

OpenClaw 官方宣布,已正式推出 iOS 和 Android 原生移动 App,用户如今可以在手机上使用这款主打“能真正帮你做事”的个人 AI 助手。官方在 X 上给出的定位也很直接:把 Agent 放进口袋里,让用户可以在移动端处理频道消息、任务和回复。从功能上看,OpenClaw 移动端并

优必选CEO周剑:家庭机器人生态核心投入过半精力
科技数码 · 2026-07-01

优必选CEO周剑:家庭机器人生态核心投入过半精力

先说几个核心判断:优必选正在布局一盘长远战略。创始人兼CEO周剑在近期一场媒体沟通会上,直接亮出了公司未来的发展路线——工业、商用、家庭陪伴机器人三条业务主赛道并行推进,现阶段每条线各占约一半精力。一边是已经能够稳定创造收入的工业场景,另一边则是他眼中“最具想象力与未来空间”的家庭陪伴领域。工业人形

CPO/NPO/OIO开启封装级光连接价值空间,技术路线尚未收敛
科技数码 · 2026-07-01

CPO/NPO/OIO开启封装级光连接价值空间,技术路线尚未收敛

6月30日,申银万国在光连接系列研报中重点指出,MPO光连接器领域的投资机会值得高度关注。通俗来说,随着AI算力集群持续扩张,光互联升级带来的连锁效应——数据中心光纤通道数量、前面板端口密度、机柜内光纤管理复杂度——均在同步攀升。光连接器的角色早已超越传统的低价值标准件,如今它直接决定着链路插损、可

龙岗AR实景剧本游内测体验短板有效破解之道
科技数码 · 2026-07-01

龙岗AR实景剧本游内测体验短板有效破解之道

在今年龙岗区第二届人工智能与机器人发展大会上,区级部门一次性推出了7个AI“龙搭子”。其中,名为“龙导游”的成果成为文商旅融合领域的核心亮点。据南都N视频记者了解,依托“龙导游”打造的全区全域AR实景剧本游“龙岗大陆”,已在今年五一假期发布了内测版本。经过一个月市场验证后,该项目正式启动面向全社会的

南下资金6月30日净买入中芯国际与建滔积层板
科技数码 · 2026-07-01

南下资金6月30日净买入中芯国际与建滔积层板

6月30日,南下资金持续大举买入港股,单日净流入金额高达58 95亿港元。接下来,我们直接盘点哪些个股获得资金青睐、哪些遭到减持: 净买入方面,中芯国际领跑全场,单日吸金19 33亿港元;建滔积层板紧随其后,净买入10 59亿港元;腾讯控股获得7 65亿港元净流入;智谱(02513 HK)也有6 5