CVE-2025-31133是runC中的一个高危漏洞,攻击者可利用该漏洞通过替换宿主机文件的符号链接,突破容器隔离并提权至宿主机root权限。以下是关键信息:
漏洞原理
攻击者可将容器内本应屏蔽宿主机文件的/dev/null替换为指向宿主机敏感文件的符号链接,导致runC错误挂载宿主机文件,从而实现容器逃逸。例如,攻击者可写入/proc/sys/kernel/core_pattern等关键内核文件。
影响范围
所有版本的runC均受影响。
修复版本包括1.2.8、1.3.3、1.4.0-rc.3及更高版本。
利用条件
需攻击者具备启动自定义挂载配置容器的能力,通常通过恶意镜像或Dockerfile实现。目前无在野利用证据。
缓解措施
立即升级runC至修复版本。
启用用户命名空间(user namespaces),避免宿主机root映射到容器。
采用无根容器(rootless containers)降低风险。
