runc容器逃逸漏洞公告（CVE-2025-31133、CVE-2025-52565、CVE-2025-52881）

漏洞详情

• CVE-2025-31133：runc在实现maskedPaths特性时存在竞态条件漏洞，攻击者可利用符号链接欺骗runc，使本应被掩盖的敏感文件（如/proc/sys/kernel/core_pattern）在容器内保持可写状态，此漏洞可导致容器逃逸。
• CVE-2025-52565：runc在创建/dev/console设备时存在竞态条件漏洞，攻击者可将/dev/pts/$n替换为指向/proc目录下文件的符号链接，该漏洞可导致容器逃逸或拒绝服务。
• CVE-2025-52881：runc存在竞态条件漏洞，攻击者可将安全标签和系统参数的写入操作重定向到其他/proc文件，导致LSM（Linux Security Module，如AppArmor、SELinux）安全策略被绕过，结合其他漏洞可导致容器或拒绝服务。

漏洞利用条件

CCE服务的正常使用场景不受此漏洞影响。

仅当攻击者同时具备以下条件时，可利用该漏洞：

1. 攻击者能自定义容器镜像。
2. 容器以root权限运行。

典型漏洞利用场景：

• 在容器启动时，快速将容器内的/dev/null替换为指向/proc目录下文件的符号链接，实现容器逃逸。
• 将/dev/pts/$n替换为指向/proc目录下文件的符号链接，实现容器逃逸。
• 将/proc/self/attr/current（AppArmor标签文件）重定向到/proc/self/sched。导致容器进程的AppArmor或SELinux配置未被应用，运行在“无约束”状态。

漏洞影响

满足上述漏洞利用条件时，容器进程可能逃逸到节点，导致节点信息泄露或拒绝服务。

判断方法

登录CCE控制台，单击集群名称进入集群总览页面，查看集群版本。

如果集群版本范围为v1.28.15-r60 、v1.29.15-r20、v1.30.14-r20、v1.31.10-r20、v1.32.6-r20、v1.33.5-r10及以下，同时以root运行来自未知或不受信任来源的容器镜像时，可能存在风险。

漏洞修复方案

规避措施：

• 确保工作负载使用的容器镜像来源可信。
• 通过使用集群Pod安全策略或其他admission准入机制限制以root用户启动容器，并设置参数allowPrivilegeEscalation为false：

  securityContext:
        allowPrivilegeEscalation: false

执行以上规避措施前前请评估对业务的影响，并进行充分测试。

修复方案：

当前CCE团队将发布新版本修复该漏洞，请您关注补丁版本发布记录，及时将集群升级至漏洞修复版本。已EOS集群版本请升级到在维版本进行修复。

相关链接

关于更多社区发布信息，请参见runc社区安全公告。