游乐游手机版
首页/科技数码/文章详情

Runc漏洞危及Docker与Kubernetes:5步加固容器隔离安全

时间:2025-11-19 17:41
这些漏洞通过竞争挂载条件和 procfs 写入重定向机制突破容器边界。攻击者需具备使用自定义挂载配置启动容器的能力,恶意容器镜像和 Dockerfile 成为主要攻击媒介。 Docker、Kuber

这些安全漏洞主要通过竞争挂载条件和procfs写入重定向机制来突破容器边界。攻击者需要具备使用自定义挂载配置启动容器的能力,恶意容器镜像和Dockerfile成为主要攻击媒介。

Docker、Kubernetes等容器平台所依赖的底层运行时runc被曝出三个关键漏洞,攻击者可利用这些漏洞突破容器隔离限制,获取宿主机root权限。目前尚未发现活跃攻击迹象。

这些漏洞利用方式涉及通过竞争挂载条件和procfs写入重定向机制来突破容器边界。攻击者需要掌握通过自定义挂载配置启动容器的技术,其中恶意容器镜像和Dockerfile构成了主要的攻击途径。Sysdig威胁研究团队已全面分析三个漏洞,并为全球受影响组织提供详细缓解建议。

runc漏洞导致容器隔离失效

(CVE-2025-31133)利用runc的maskedPaths功能缺陷,该功能本应保护宿主机敏感文件不被容器访问。攻击者在容器创建阶段将/dev/null替换为符号链接,诱骗runc挂载任意宿主机路径并向/proc/sys/kernel/core_pattern等关键系统文件写入数据,最终实现容器逃逸。

(CVE-2025-52565)针对容器初始化阶段的/dev/console挂载操作。

\

由于验证机制不完善,攻击者可重定向挂载点获取受保护procfs文件的写入权限。该攻击之所以成功,是因为挂载操作发生在maskedPaths和readonlyPaths保护机制生效之前。

(CVE-2025-52881)使攻击者能通过共享挂载的竞争条件绕过Linux安全模块保护。攻击者可重定向runc写入操作至伪造的procfs文件,进而操控/proc/sysrq-trigger或/proc/sys/kernel/core_pattern等危险系统文件,可能引发系统崩溃或容器逃逸。

受影响版本及修复方案

CVE-2025-31133和CVE-2025-52881影响所有已知runc版本,CVE-2025-52565影响1.0.0-rc3及后续版本。所有漏洞已在runc 1.2.8、1.3.3和1.4.0-rc.3+版本中修复。

使用容器化环境的企业应立即升级至修复版本。Sysdig威胁研究团队建议为所有容器启用用户命名空间,通过限制procfs文件系统访问来阻断关键攻击路径。采用rootless容器可进一步缩小漏洞影响范围。AWS、ECS、EKS等云服务商已于2025年11月5日发布安全更新。

来源:https://www.51cto.com/article/829441.html
上一篇贾跃亭设第二债权人信托,融资推进债务清偿与回国进程 下一篇数字信用如何重构中小微融资?微企这样构建融资新生态
本站内容用于信息整理与展示,如有侵权或内容问题请及时联系处理。

相关推荐

补充同频道和同主题内容,方便继续浏览更多相关内容。

同类最新

继续查看同栏目最近更新的文章。

更多
OpenClaw手机App上线,结果翻车了
科技数码 · 2026-07-01

OpenClaw手机App上线,结果翻车了

OpenClaw 官方宣布,已正式推出 iOS 和 Android 原生移动 App,用户如今可以在手机上使用这款主打“能真正帮你做事”的个人 AI 助手。官方在 X 上给出的定位也很直接:把 Agent 放进口袋里,让用户可以在移动端处理频道消息、任务和回复。从功能上看,OpenClaw 移动端并

优必选CEO周剑:家庭机器人生态核心投入过半精力
科技数码 · 2026-07-01

优必选CEO周剑:家庭机器人生态核心投入过半精力

先说几个核心判断:优必选正在布局一盘长远战略。创始人兼CEO周剑在近期一场媒体沟通会上,直接亮出了公司未来的发展路线——工业、商用、家庭陪伴机器人三条业务主赛道并行推进,现阶段每条线各占约一半精力。一边是已经能够稳定创造收入的工业场景,另一边则是他眼中“最具想象力与未来空间”的家庭陪伴领域。工业人形

CPO/NPO/OIO开启封装级光连接价值空间,技术路线尚未收敛
科技数码 · 2026-07-01

CPO/NPO/OIO开启封装级光连接价值空间,技术路线尚未收敛

6月30日,申银万国在光连接系列研报中重点指出,MPO光连接器领域的投资机会值得高度关注。通俗来说,随着AI算力集群持续扩张,光互联升级带来的连锁效应——数据中心光纤通道数量、前面板端口密度、机柜内光纤管理复杂度——均在同步攀升。光连接器的角色早已超越传统的低价值标准件,如今它直接决定着链路插损、可

龙岗AR实景剧本游内测体验短板有效破解之道
科技数码 · 2026-07-01

龙岗AR实景剧本游内测体验短板有效破解之道

在今年龙岗区第二届人工智能与机器人发展大会上,区级部门一次性推出了7个AI“龙搭子”。其中,名为“龙导游”的成果成为文商旅融合领域的核心亮点。据南都N视频记者了解,依托“龙导游”打造的全区全域AR实景剧本游“龙岗大陆”,已在今年五一假期发布了内测版本。经过一个月市场验证后,该项目正式启动面向全社会的

南下资金6月30日净买入中芯国际与建滔积层板
科技数码 · 2026-07-01

南下资金6月30日净买入中芯国际与建滔积层板

6月30日,南下资金持续大举买入港股,单日净流入金额高达58 95亿港元。接下来,我们直接盘点哪些个股获得资金青睐、哪些遭到减持: 净买入方面,中芯国际领跑全场,单日吸金19 33亿港元;建滔积层板紧随其后,净买入10 59亿港元;腾讯控股获得7 65亿港元净流入;智谱(02513 HK)也有6 5