当前位置: 首页
科技数码
Docker 容器安全加固:runC 漏洞可致“数字越狱”

Docker 容器安全加固:runC 漏洞可致“数字越狱”

热心网友 时间:2025-11-28
转载

11 月 10 日消息,科技媒体 bleepingcomputer 昨日(11 月 9 日)发布博文,报道称容器核心组件 runC 近日披露三项高危漏洞(CVE-2025-31133 等),影响

11月10日据科技媒体bleepingcomputer报道,容器核心组件runC近期披露三个高危漏洞(编号包括CVE-2025-31133等),这些安全缺陷将影响Docker、Kubernetes等主流容器平台。

需要说明的是,runC作为轻量化命令行工具,堪称容器化技术的"发动机"。它遵循开放容器标准(OCI),负责创建和运行容器实例,是Docker与Kubernetes等高级工具的底层运行基础。

开源容器社区本周确认了runC存在的三处高危安全漏洞,其编号分别为CVE-2025-31133、CVE-2025-52565与CVE-2025-52881。

这些漏洞的出现意味着大量云原生环境面临严峻的安全考验。一旦攻击者成功利用漏洞,将能突破容器沙箱限制,直接访问并控制其所在的宿主机系统。

这三个漏洞的核心攻击手法均与Linux系统的文件挂载机制相关。攻击者可在容器启动的瞬间,通过竞争条件(Race Condition)或预设的符号链接(symlink),诱骗runC将宿主机上的敏感路径(如/proc目录下的系统文件)以可写方式挂载到容器内部。

以CVE-2025-31133为例,攻击者可将本应屏蔽宿主机文件的/dev/null替换为指向恶意目标的符号链接,从而获取对宿主机文件的写入权限,最终实现容器逃逸并提权至root。

根据最新安全公告,CVE-2025-31133和CVE-2025-52881影响所有版本的runC,而CVE-2025-52565则影响v1.0.0-rc3及之后的所有版本,覆盖范围极为广泛。

为应对此安全威胁,runC开发团队已紧急发布修复版本,包括1.2.8、1.3.3与1.4.0-rc.3。所有使用受影响平台的开发者和运维人员应立即检查环境中的runC版本,并尽快升级至最新安全版本,以消除安全隐患。

云安全公司Sysdig指出,利用这些漏洞的前提是攻击者需要具备启动自定义挂载配置容器的能力,这通常通过恶意的容器镜像或Dockerfile实现。目前尚未有证据表明这些漏洞已被在野利用。

除立即升级外,runC开发者与Sysdig均建议采取额外的防护措施。最有效的缓解方案是为所有容器激活用户命名空间(user namespaces),并避免将宿主机root用户映射到容器内。同时,尽可能采用无根容器(rootless containers)技术,也能显著降低此类漏洞被利用后可能造成的损害。

来源:https://www.ithome.com/0/896/138.htm

游乐网为非赢利性网站,所展示的游戏/软件/文章内容均来自于互联网或第三方用户上传分享,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系youleyoucom@outlook.com。

同类文章
更多
地下室发现尘封12年AMD前CEO旧PC苏姿丰签名推土机硬件

地下室发现尘封12年AMD前CEO旧PC苏姿丰签名推土机硬件

一位技工在客户家地下室发现一台属于AMD前CEORoryRead的旧PC,机箱上留有苏姿丰等高管签名,配置为推土机时代硬件且从未开机。这台电脑封存了AMD从推土机失败到Zen架构崛起的关键转折历史。

时间:2026-07-10 10:06
Laravel 12生态成熟助力全栈开发效率提升

Laravel 12生态成熟助力全栈开发效率提升

Laravel12延续开发体验优势,在项目结构、查询构建、API开发、调试及性能上持续优化。其生态日趋成熟,形成Reverb、Pulse等完整工具链,覆盖API、SaaS、企业后台及AI应用开发。与Next js的组合逐渐流行,Laravel已演变为现代Web开发平台,保持社区活力。

时间:2026-07-10 10:06
Linux内核持续演进:Rust语言与零拷贝网络成新焦点

Linux内核持续演进:Rust语言与零拷贝网络成新焦点

LinuxKernel6 15重大更新:Rust驱动正式入主线,NOVADRM成为首个实践案例;io_uring新增零拷贝网络接收,降低CPU开销与延迟;Btrfs增强实时zstd压缩、DirectIO及稳定性。内核同步推进安全化与高性能网络化。

时间:2026-07-10 10:06
谷歌Gemini进入Agent时代 打造全天候AI助理

谷歌Gemini进入Agent时代 打造全天候AI助理

Google推出GeminiSpark、Omni等新功能。Spark可全天候在后台运行,主动处理邮件、日历等任务;Omni侧重视频理解与环境推理,布局世界模型。AI正从被动回答转向主动观察、规划与执行,标志着竞赛进入新阶段。

时间:2026-07-10 10:05
CPU-Z 2.20.2正式版发布 支持Intel三大平台及AMD锐龙AI Max

CPU-Z 2.20.2正式版发布 支持Intel三大平台及AMD锐龙AI Max

CPU-Z2 20 2正式版发布,新增支持IntelPantherLake、WildcatLake、BartlettLake三大架构及AMD锐龙AIMax、Pro系列,加入锐炫G3识别库,修复缓存错误和锐龙77700X3D检测问题,免费下载。

时间:2026-07-10 10:05
热门专题
更多
刀塔传奇破解版无限钻石下载大全 刀塔传奇破解版无限钻石下载大全
洛克王国正式正版手游下载安装大全 洛克王国正式正版手游下载安装大全
思美人手游下载专区 思美人手游下载专区
好玩的阿拉德之怒游戏下载合集 好玩的阿拉德之怒游戏下载合集
不思议迷宫手游下载合集 不思议迷宫手游下载合集
百宝袋汉化组游戏最新合集 百宝袋汉化组游戏最新合集
jsk游戏合集30款游戏大全 jsk游戏合集30款游戏大全
宾果消消消原版下载大全 宾果消消消原版下载大全
  • 热门数据榜