这些安全漏洞主要通过竞争挂载条件和procfs写入重定向机制来突破容器边界。攻击者需要具备使用自定义挂载配置启动容器的能力,恶意容器镜像和Dockerfile成为主要攻击媒介。
Docker、Kubernetes等容器平台所依赖的底层运行时runc被曝出三个关键漏洞,攻击者可利用这些漏洞突破容器隔离限制,获取宿主机root权限。目前尚未发现活跃攻击迹象。
这些漏洞利用方式涉及通过竞争挂载条件和procfs写入重定向机制来突破容器边界。攻击者需要掌握通过自定义挂载配置启动容器的技术,其中恶意容器镜像和Dockerfile构成了主要的攻击途径。Sysdig威胁研究团队已全面分析三个漏洞,并为全球受影响组织提供详细缓解建议。

runc漏洞导致容器隔离失效
(CVE-2025-31133)利用runc的maskedPaths功能缺陷,该功能本应保护宿主机敏感文件不被容器访问。攻击者在容器创建阶段将/dev/null替换为符号链接,诱骗runc挂载任意宿主机路径并向/proc/sys/kernel/core_pattern等关键系统文件写入数据,最终实现容器逃逸。
(CVE-2025-52565)针对容器初始化阶段的/dev/console挂载操作。

由于验证机制不完善,攻击者可重定向挂载点获取受保护procfs文件的写入权限。该攻击之所以成功,是因为挂载操作发生在maskedPaths和readonlyPaths保护机制生效之前。
(CVE-2025-52881)使攻击者能通过共享挂载的竞争条件绕过Linux安全模块保护。攻击者可重定向runc写入操作至伪造的procfs文件,进而操控/proc/sysrq-trigger或/proc/sys/kernel/core_pattern等危险系统文件,可能引发系统崩溃或容器逃逸。
受影响版本及修复方案
CVE-2025-31133和CVE-2025-52881影响所有已知runc版本,CVE-2025-52565影响1.0.0-rc3及后续版本。所有漏洞已在runc 1.2.8、1.3.3和1.4.0-rc.3+版本中修复。
使用容器化环境的企业应立即升级至修复版本。Sysdig威胁研究团队建议为所有容器启用用户命名空间,通过限制procfs文件系统访问来阻断关键攻击路径。采用rootless容器可进一步缩小漏洞影响范围。AWS、ECS、EKS等云服务商已于2025年11月5日发布安全更新。
