Docker 容器安全加固：runC 漏洞可致“数字越狱”

11月10日据科技媒体bleepingcomputer报道，容器核心组件runC近期披露三个高危漏洞（编号包括CVE-2025-31133等），这些安全缺陷将影响Docker、Kubernetes等主流容器平台。

需要说明的是，runC作为轻量化命令行工具，堪称容器化技术的"发动机"。它遵循开放容器标准（OCI），负责创建和运行容器实例，是Docker与Kubernetes等高级工具的底层运行基础。

开源容器社区本周确认了runC存在的三处高危安全漏洞，其编号分别为CVE-2025-31133、CVE-2025-52565与CVE-2025-52881。

这些漏洞的出现意味着大量云原生环境面临严峻的安全考验。一旦攻击者成功利用漏洞，将能突破容器沙箱限制，直接访问并控制其所在的宿主机系统。

这三个漏洞的核心攻击手法均与Linux系统的文件挂载机制相关。攻击者可在容器启动的瞬间，通过竞争条件（Race Condition）或预设的符号链接（symlink），诱骗runC将宿主机上的敏感路径（如/proc目录下的系统文件）以可写方式挂载到容器内部。

以CVE-2025-31133为例，攻击者可将本应屏蔽宿主机文件的/dev/null替换为指向恶意目标的符号链接，从而获取对宿主机文件的写入权限，最终实现容器逃逸并提权至root。

根据最新安全公告，CVE-2025-31133和CVE-2025-52881影响所有版本的runC，而CVE-2025-52565则影响v1.0.0-rc3及之后的所有版本，覆盖范围极为广泛。

为应对此安全威胁，runC开发团队已紧急发布修复版本，包括1.2.8、1.3.3与1.4.0-rc.3。所有使用受影响平台的开发者和运维人员应立即检查环境中的runC版本，并尽快升级至最新安全版本，以消除安全隐患。

云安全公司Sysdig指出，利用这些漏洞的前提是攻击者需要具备启动自定义挂载配置容器的能力，这通常通过恶意的容器镜像或Dockerfile实现。目前尚未有证据表明这些漏洞已被在野利用。

除立即升级外，runC开发者与Sysdig均建议采取额外的防护措施。最有效的缓解方案是为所有容器激活用户命名空间（user namespaces），并避免将宿主机root用户映射到容器内。同时，尽可能采用无根容器（rootless containers）技术，也能显著降低此类漏洞被利用后可能造成的损害。